勒索软件团伙联盟导致网络犯罪激增的技术分析

勒索软件攻击激增的技术背景

恶意活动的季节性激增，加上勒索软件组织之间的联盟，导致9月至10月间攻击增加了41%。根据NCC Group报告，网络犯罪组织Qilin仍然是最活跃的勒索软件传播者，在10月份的594起攻击中负责170起（占29%）。

Sinobi和Akira紧随其后，在2025年10月最活跃的勒索软件组织中位列前三，分别占攻击总数的15%。

勒索软件攻击的上升是在4月至8月攻击数量相对稳定（包括4月至6月间的下降）之后出现的。

活动在北半球夏季末开始回升，9月录得28%的环比增长——这一势头现已加速到10月的峰值，NCC报告称。

10月的激增表明威胁行为体正在加强其操作，以迎接通常网络犯罪最活跃的时期。“第四季度’黄金季度’从黑色星期五、网络星期一到圣诞节，消费者支出达到峰值，为网络威胁行为体提供了更多机会，“根据NCC。

NCC Group的统计数据来源于对每个勒索软件组织偏好的泄露网站的主动监控。在10月的594起攻击中，工业仍然是受攻击最多的行业，占所有攻击的28%（167起）。非必需消费品行业（包括汽车制造商、零售企业和休闲设施）遭受了124起攻击。医疗保健行业以64起攻击升至第三位。

北美受勒索软件攻击最严重，遭受了超过一半的事件（62%），而欧洲为17%，亚洲为9%。

Guidepoint Security的年度研究发现，活跃勒索软件组织同比增长57%。同时，根据Guidepoint的数据，自2024年第四季度以来，勒索软件受害者数量稳定在每季度约1500-1600起。

新参与者和勒索软件组织之间的联盟导致了10月份勒索软件攻击的总体增加。

例如，新重新启动的LockBit 5.0组织已与其他著名的勒索软件即服务（RaaS）组织DragonForce和Qilin结盟。

威胁组织之间的联盟使得能够共享工具、基础设施和战术，从而使他们的攻击更加有效。

“LockBit、DragonForce和Qilin之间的联盟结合了技术专长、资源和基础设施，创建了一个能够维持大规模勒索软件操作的网络，同时使组织和执法部门的归因和响应复杂化，“根据NCC。

尽管尚未确认有协调的攻击，但这些松散的联盟可能充当附属机构的招募工具。

“该合作伙伴关系也可能旨在重建LockBit在网络犯罪社区内的声誉，在2024年执法部门打击后向其附属机构保证其持续相关性和运营能力，“NCC补充道。

在其他地方，新出现的The Gentlemen勒索软件组织以21起针对医疗保健、金融服务和IT公司等的攻击声明闯入威胁格局。

“我们在威胁格局中看到更多勒索软件组织和变体的部分原因是网络犯罪的技术门槛日益降低，“根据NCC。“勒索软件构建器持续被泄露或发布，意味着技术复杂程度较低的威胁行为体仍然能够开展有效的活动。”

Rapid7的最新季度研究还发现，新建立的联盟导致勒索软件活动激增，同时补充说，从精细勒索到双重勒索和零日漏洞利用的战术创新也在增加恶意活动中发挥作用。

本季度还出现了88个活跃勒索软件组织，高于第二季度的65个和第一季度的76个，表明活动增加，同时也凸显了多变威胁环境形态的变化。

根据Rapid7报告，Qilin、SafePay和WorldLeaks等组织引领了一波针对商业服务、制造业和医疗保健等行业的联盟浪潮。

这些相同的组织开始尝试无文件操作、单一勒索数据泄露和附属服务提供，如赎金谈判援助，即组织中较资深的成员与经验较少的参与者合作勒索受害者。

网络勒索事件响应公司Coveware报告称，远程访问入侵、网络钓鱼/社会工程和软件漏洞利用仍然是入侵活动的核心，但它们之间的区别日益模糊。

“对手不仅通过登录系统获得访问权限，还通过说服他人为其配置访问权限，“Coveware解释说。“模糊这些界限的活动，例如那些冒充SaaS支持团队或滥用服务台流程以获得OAuth授权的活动，展示了如何将人类信任工程化为技术立足点。”

通过VPN、云网关和SaaS集成进行的基于凭证的入侵继续作为勒索软件攻击的主要载体。

Coveware 2005年第三季度勒索软件研究确定Akira和Qilin为两个最突出的勒索软件变体。Coveware补充说，一些勒索软件组织正在重新品牌化为仅数据盗窃的组织，放弃文件加密作为勒索策略。

NCC Group威胁情报负责人Matt Hull表示，今年迄今已识别出200多个勒索软件变体。

“随着勒索软件活动加速和显著攻击继续造成广泛的经济和运营中断，警惕性比以往任何时候都更加关键。组织应利用此时刻加强安全措施并测试事件响应计划，“Hull说。“主动监控、员工意识和安全备份在我们进入年度威胁高峰季节时仍然是关键。”