公共部门勒索软件攻击持续肆虐:2025年威胁态势与防御策略

本文深入分析2025年公共部门面临的勒索软件威胁态势,包括全球攻击数据、活跃威胁组织、受害者分布情况,并提供针对政府机构的安全防护建议和最佳实践方案。

公共部门勒索软件攻击 relentlessly continue

2025年威胁态势概览

2025年,即首次记录勒索软件攻击36年后,攻击者继续紧盯公共部门,没有任何迹象表明他们会很快放缓。事实上,我们的数据表明,针对政府组织的勒索软件攻击正在加剧,导致严重的服务中断、大规模数据丢失、声誉损害、公众不信任和财务损失。

根据Trustwave(A LevelBlue Company)的数据,2025年迄今已有近200个公共部门实体遭到勒索软件攻击,其中Babuk和Qilin是最活跃的威胁组织。Comparitech指出,2018年至2024年间针对政府实体发起的勒索软件攻击仅运营停机成本就达10.9亿美元。

除了金钱和时间相关问题,勒索软件攻击还导致关键服务和基础设施广泛中断,导致公众信任度下降以及政府组织和公众的经济损失。

全球公共部门勒索软件数据

2025年迄今,我们已在全球范围内识别出196个公共部门组织成为勒索软件攻击的受害者。这个数字反映了持续且不断增长的威胁,各国政府实体面临运营中断、数据盗窃和勒索企图,规模令人震惊。

图1. 勒索软件组织间的受害者分布

2025年 alone,针对公共部门的勒索软件活动由多种威胁组织主导,每个组织的攻击性和覆盖范围各不相同。最活跃的攻击者包括Babuk2(43个已知受害者),其次是Qilin(21)、INC Ransom(18)、FunkSec(12)和Medusa(11)。这些组织继续利用政府系统中的漏洞,通常使用双重勒索策略,在加密文件的同时窃取数据以迫使受害者支付赎金。

表1. 2025年1月至7月勒索软件行为者声称或归因于的针对公共部门攻击的详细数量

Rhysida、SafePay、RansomHub和DragonForce等组织也声称发起了多次公共部门攻击,表明勒索软件领域日益碎片化。这种多样化使得归因和防御更加复杂,因为每个组织可能使用不同的工具、技术和目标策略。

图2. 每个国家的公共部门受害者分布

表2. 2025年1月至7月每个国家针对公共部门攻击的详细数量

美国以69个确认的公共部门勒索软件受害者位居榜首,这凸显了其作为主要目标的地位,原因在于其庞大的数字基础设施、分散的治理和有价值的数据。高数字也反映了强大的违规报告标准。

加拿大(7)、英国(6)和法国(5)紧随其后,表明拥有广泛数字服务的发达国家仍然是频繁目标。它们先进的电子政务平台为攻击者提供了高价值机会。印度(5)、巴基斯坦(5)和印度尼西亚(5)表明新兴经济体的威胁日益增长,这些国家的快速数字化可能超过网络安全投资。

总体而言,数据凸显了针对公共部门的勒索软件攻击的全球性,这既由技术暴露驱动,也由攻击者的机会主义驱动。如果没有协调防御和更强的第三方风险管理,即使是资金充足的国家也很脆弱。

2025年上半年政府部门勒索软件数据

2025年上半年,全球勒索软件活动激增,记录了3627起事件,与2024年上半年相比增长了47%。政府部门也经历了更大的增长,勒索软件攻击同期增长了60%,凸显了这些实体成为目标的程度增加。

如图3所示,针对政府部门的最多勒索软件攻击发生在1月,随后几个月的攻击数量保持相对稳定。

图3. 2025年上半年每月针对政府部门的勒索软件攻击数量

2025年第一季度,政府组织面临所有部门中最高的平均赎金要求,达到670万美元。在2025年上半年,确认在勒索软件事件中泄露的记录超过1700万条,针对政府部门的攻击对此总数贡献显著。

公共部门的勒索软件压力

勒索软件仍然是全球公共部门组织最具破坏性的网络威胁之一。在过去五年中,州和地方政府、教育委员会、卫生当局和司法系统越来越多地成为勒索软件组织的目标。

这些实体通常被视为高影响、低安全性的目标:它们存储关键数据,提供基本服务,并且可能缺乏资源或技术深度来维持强大的网络安全防御。对攻击者而言,这使公共机构成为勒索的主要候选者。

图4. 勒索软件组织Everest声称对阿布扎比政府部门发动了攻击

勒索软件组织,包括那些在勒索软件即服务(RaaS)模式下运营的组织,由于该部门对停机时间的敏感性,经常以公共机构为目标。诸如警察调度、法院系统和公共健康门户等服务无法承受运营中断。这种紧迫性常常导致决策者面临压力,要求支付赎金或以其他方式满足攻击者的要求以迅速恢复系统。攻击者通过强加激进的时间表、数据加密和公开数据泄露的威胁来利用这种脆弱性。

近年来,战术发生了演变。传统的基于加密的勒索软件已经得到补充或被数据勒索攻击所取代,在这种攻击中,文件被窃取而不是加密,受害者受到公开曝光的威胁而被敲诈。

图5. 一个执法部门被添加到INC勒索软件组织的泄露网站

这些攻击的后果远远超出了直接的财务损失。当个人或关键数据被泄露时,公众对数字服务的信心可能会受到侵蚀。法院、学校或紧急服务的运营延迟可能产生危及生命或造成政治损害的后果。此外,当机构支付赎金时,它们可能会无意中资助更广泛的犯罪网络或与国家结盟的网络活动。政府正日益转向阻止支付赎金并强调主动防御、事件响应准备和跨机构信息共享的政策。

勒索软件给公共管理带来了独特而持久的风险。应对这种威胁不仅需要技术控制,如强大的备份、补丁管理和分段,还需要在政策层面做出关于威慑、透明度和面对跨国网络犯罪时的国家协调的决策。

公共部门安全建议

公共部门组织必须通过实施以下最佳实践来采取主动的网络安全方法,确保关键操作不受干扰,敏感数据得到保护:

  • 维护并更新组织资产清单:确保维护硬件、软件和数据资产及其各自依赖关系以及负责人员的更新列表。
  • 确定漏洞优先级并打补丁:及时了解最新漏洞,并创建基于风险评估对漏洞进行分类的补丁优先级模型。为了减少运营中断,组织可以从使用托管漏洞扫描解决方案中受益,该解决方案优先保护并恢复基本资产。
  • 进行勒索软件就绪评估:通过完成基于NIST CSF的勒索软件就绪评估,更好地了解组织在面对毁灭性勒索软件攻击时的弱点,并学习如何解决它们。
  • 遵守最小权限原则:通过授予用户、账户和进程执行任务所需的最低必要访问权限来最小化风险。
  • 备份业务关键数据和系统:确保拥有数据和系统的加密、不可变备份,以即使在面对网络攻击时也能维持业务连续性。
  • 培养倡导网络安全的工作场所文化:整合定期培训和网络安全意识计划的组织可以培养更具网络意识的员工,并降低陷入社会工程骗局的风险。
  • 保护多层电子邮件安全解决方案:通过强大的电子邮件安全解决方案防止勒索软件和恶意软件到达员工的收件箱,该解决方案保护环境免受基于电子邮件的威胁。
  • 通过托管检测与响应服务加强安全:通过获取托管检测与响应(MDR)服务来补充组织的内部安全团队,该服务可以帮助您及时处理并响应来自多个安全工具和服务的警报数据。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次