勒索软件态势——2025年第三季度

关键发现

• 创纪录的碎片化与去中心化：2025年第三季度活跃的勒索团体数量增至创纪录的85个，为迄今为止观察到的最高数字。前10大团体仅占所有已公布受害者的56%，低于第一季度的71%。
• 稳定的高活跃度：勒索软件受害者公布数量稳定在每月平均535名，较2024年第二至第三季度的420名同比增长，但低于2025年第一季度的峰值。
• LockBit的回归：LockBit于2025年9月发布LockBit 5.0后重新出现，可能预示着攻击附属团伙在主要品牌下重新集中。
• 新兴主导势力：Qilin成为最活跃的团体，每月平均75名受害者，其次是Akira、INC Ransom和Play。
• 地区集中度转变：在Qilin针对其金融行业的集中攻击活动后，韩国进入受攻击最严重国家的前10名。
• 行业影响：制造业和商业服务仍然是受影响最严重的行业。尽管Play等主要行为者选择性回避，医疗保健行业受害者占比稳定在总受害者的8%。

2025年第三季度的勒索软件：RaaS碎片化加剧，LockBit回归

在2025年第三季度，我们监控了超过85个活跃的数据泄露站点（DLS），这些站点共列出了1,592名新受害者。与2025年第二季度报告的1,607名受害者相比，公布率保持稳定，但仍显著高于2024年第三季度记录的1,270名受害者（同比增长25%）。总体而言，每月约有520至540名新受害者，表明勒索软件活动虽处于历史高位，但已趋于稳定。


尽管数个知名勒索软件团体被铲除，活跃威胁行为者的总数仍在持续增长，每月都有新团体出现。 在2025年第三季度，我们观察到双重勒索活动稳步扩张，主要由小型和新兴的操作者驱动。在本季度跟踪的85个数据泄露站点中，有47个团体公布的受害者少于10名，这表明越来越多的附属团伙不再依赖已建立的勒索软件即服务（RaaS）计划，而是独立发动攻击。

这种碎片化是在今年多个主要RaaS品牌关闭或休眠之后出现的，包括RansomHub、8Base、BianLian、Cactus等。仅在第三季度，就有14个新团体开始公布受害者，使得2025年新观察到的行为者总数达到45个。在第一季度，最活跃的10个团体占所有DLS发布量的71%。在第二季度，其份额下降到63%，到第三季度，仅占56%。

这些发现说明了执法行动对勒索软件受害者总数的长期影响有限。尽管过去一年进行了几次引人注名的打击行动——其中大多数针对大型RaaS运营，如LockBit、8Base和Blacksuit——但攻击总量并未显著下降。相反，攻击活动继续保持逐步上升趋势，从2024年第二至第三季度每月约420名受害者的平均值，上升到2025年同期的每月约535名。

这种有限的影响似乎源于执法工作的侧重点：打击行动主要针对RaaS基础设施和管理员，这并不影响实施入侵和驱动操作执行的附属操作者。当一个主要的RaaS平台被破坏时，这些附属团伙通常会迁移到替代程序或建立自己的数据泄露站点，仅导致整体活动水平的短期中断。

附属团伙的流动性影响在新泄露站点的扩散和现有团体活动度的上升中都很明显。Qilin是2025年第三季度最活跃的行为者（也是在招募前RansomHub附属团伙方面最积极的团体之一），每月平均约有75名受害者，高于4月RansomHub关闭前第一季度的36名。INC Ransomware每月总数从23名增加到39名，Play在同一时期从28名增加到33名。

这种持续存在的生态系统碎片化可能会进一步削弱勒索软件操作者的可靠性。传统上，受害者依赖攻击者的声誉在支付后提供解密密钥。大型RaaS品牌有商业动机来维护信誉并提供密钥，但规模较小、寿命较短的团体则不然，这导致了支付率的降低，目前估计为总攻击的25-40%。

在这种背景下，附属团伙围绕主要、可识别的品牌重新集中仍然具有战略意义。大型RaaS计划通过稳定性、声誉和结构化的附属基础设施来保持其市场优势。LockBit的重新出现（下一节将讨论）可能正代表了附属团伙在这种稳定且受信任的品牌标识下的重新整合。


Qilin、Akira、INC Ransom、Play和Safepay在第三季度保持了最活跃团体中的地位。Warlock和The Gentlemen是最近出现的，都表现出了快速的早期活动：Warlock于2025年6月开始公布受害者，并在第三季度达到总计43个列表，而The Gentlemen在2025年9月的单月运营中声称有38名受害者。

Lockbit 5.0 来了——LockBit真的回来了吗？

在2024年初的"Cronos行动"中被破坏之前，LockBit主导着RaaS生态系统，占所有已公布受害者的20-30%。在遭到打击后，宣布了几次逮捕行动，而后继团体——先是RansomHub，然后是Qilin——试图继承其附属基础。然而，该团体的核心管理员LockBitSupp从未被抓获，并在地下论坛中继续暗示最终会回归。

2025年9月LockBit 5.0的发布标志着该团体重返活跃运营，重新引发了RaaS格局是否会再次围绕这个长期存在的品牌进行整合的问题。


LockBit长期以来一直承诺会卷土重来。2025年5月，在一系列公开挫折之后，该团体的管理员LockBitSupp在RAMP地下论坛上回应，宣布他们将"在被黑客攻击后总会重新站起来"。



俄语网络犯罪论坛XSS此前因与另一用户的争端而封禁了LockBitSupp，并重申"明确的RaaS广告仍然是被禁止的。“RaaS计划的商业模式依赖于招募附属团伙，因此在XSS或RAMP等主要犯罪论坛上保持可见性对其工作至关重要。

到9月初，XSS管理员报告称LockBitSupp请求恢复其身份，并将决定交由社区投票。


尽管做出了努力，投票最终失败，LockBit仍然被XSS禁止。


2025年9月初，LockBit在RAMP上宣布正式推出LockBit 5.0，恰逢该行动六周年。新的附属团伙被要求提供大约500美元的比特币存款，以获得新的加密器和更新的控制面板访问权限。


自该公告发布以来，我们确定了超过15名受LockBit 5.0影响的不同受害者，它取代了直到2025年4月仍然活跃的早期4.0版本。LockBit继续执行严格的操作安全：所有附属界面都需要个性化的凭证，并且没有受害者在团体的数据泄露站点上公开列出。


更新的勒索说明现在明确标识自己为"LockBit 5.0”，并包含一个唯一的个人标识符，允许每位受害者访问私密的谈判门户。受害者通常在失窃数据被公布前获得30天的宽限期。


对初始活动的分析显示，大约65%的已识别攻击针对美国的组织，其余影响墨西哥、印度尼西亚和几个欧洲国家。

LockBit 5.0代表了先前4.0版本的升级演进，包含了Windows、Linux和ESXi变体。新版本引入了增强的规避和反分析机制、更快的加密例程，以及使用随机的16字符文件扩展名来干扰基于特征的检测。大多数已确认的感染部署在Windows系统上，而大约20%针对ESXi虚拟基础设施。

历史上，LockBit一直是最活跃和最具破坏性的RaaS计划之一。凭借其丰富的经验和较低的附属团伙进入门槛，该团体的重新出现给许多行业的组织带来了新的风险。9月份观察到的行动可能只代表更大规模活动的前沿，预计LockBit数据泄露站点上10月份的受害者公布将证实其全面运营回归。

DragonForce的营销努力

DragonForce通过高度重视公共关系和联盟品牌，在新兴勒索软件团体中脱颖而出，经常在犯罪论坛上发表高调声明和合作伙伴关系声明。2025年9月，它在RAMP上宣布与Qilin和LockBit建立所谓的"联盟"，呈现为一个统一的附属计划。

然而，这些声明在很大程度上具有象征意义，没有共享基础设施或联合行动的可验证证据。这些公告很可能旨在吸引附属团伙，并在碎片化的RaaS市场中扩大影响力。这反映了DragonForce在日益竞争激烈的地下生态系统中保持可见性和信誉的广泛战略。


自RansomHub关闭以来，DragonForce的月度受害者数量大约增加了两倍，并在2025年第三季度声称有56名受害者。这仍然少于Qilin和Akira，但显示出稳定增长。DragonForce继续积极招募附属团伙并推广其RaaS计划中的新功能，最近在RAMP上宣布了一项数据驱动的勒索服务，为附属团伙提供失窃数据的定制分析，以最大限度地提高勒索筹码。


在这种模式下，从一个年收入超过1500万美元的公司获取了大量数据集（通常超过300 GB）的附属团伙可以提交分析，以最大化勒索影响。在最近展示的一个例子中，DragonForce审查了一家金矿公司的失窃文件，并强调了最有价值的商业和财务信息，并附上了一封定制的勒索信。


Qilin——2025年主导的RaaS行动

Qilin在2025年仍然是最活跃的勒索软件团体，将其月度受害者率提高到第三季度平均75名，高于第一季度的36名。

尽管该团体将自己描绘为受意识形态驱动，但其运营似乎完全由经济利益驱动。在2024年6月发布于其WikiLeaksV2博客的一次采访中，Qilin的操作者将自己描述为"热爱我们国家的理想主义者"。然而，这一声明与该团体跨行业和跨地域的广泛机会主义目标形成了鲜明对比。


在SuspectFile上的另一次采访中，一位Qilin附属成员将该计划描述为以利润为中心且灵活，附属团伙负责入侵和数据窃取，而Qilin管理基础设施、泄露站点运营和谈判。据报道，附属团伙的分成比例在80%到85%之间，是市场上最高的之一。这吸引了许多之前在RansomHub和BianLian下活跃的操作者。

Qilin开放的附属框架适应了具有不同动机和能力的攻击者。在最近的一个案例中，该团体的数据泄露站点短暂地将以色列的沙米尔医疗中心列为其受害者之一。


根据以色列研究员Erez Dassa的说法，负责的附属团伙很可能是一个与伊朗有关的威胁行为者。Dassa报告称，经过直接沟通，Qilin的管理员同意公开与恐怖主义或政治动机活动关联可能会使该团体面临额外压力，随后删除了该列表。


这一事件说明了大型RaaS生态系统内运作的动机范围。虽然附属团伙享有广泛的自主权，但Qilin展示了一定程度的中央监督和声誉管理，删除了可能危及其长期运营的政治敏感案例。该团体继续在开放招募和战略控制之间保持平衡，维持其作为领先且有韧性的RaaS品牌的地位。

受害者地理分布——2025年第三季度

2025年第三季度勒索软件受害者的地理分布继续遵循全球勒索软件生态系统的既定趋势。美国约占所有报告案例的一半， reaffirming 其作为经济利益驱动的威胁行为者主要目标的地位。大多数公开列出的受害者仍然集中在西方发达经济体，这些地区的组织被认为拥有更雄厚的财力，支付赎金的可能性更高。


对韩国的不寻常攻击集中使该国在本季度跻身受影响最严重国家名单的第七位。这次激增几乎完全与Qilin有关，该团体列出了30名韩国受害者，其中28名是在2025年8月至9月之间。其中23名属于金融服务部门。虽然这次集中攻击活动的原因尚不确定，但《韩国先驱报》将其归因于一家IT承包商运营的云服务器遭到入侵，该承包商为多家中型私募股权基金服务。

Safepay继续保持对德国和英国的强烈关注，每个国家约占其第三季度总受害者的10%。与INC Ransom一起（该团体也有11名英国受害者），这两个团体是英国最活跃的，紧随其后的是有10名受害者的Qilin。

DragonForce的受害者中有20%位于德国，使其成为该国最活跃的勒索软件团体。

INC Ransom报告的加拿大受害者比例异常高（8%），是本季度针对加拿大组织的任何团体中份额最大的。


按行业划分的勒索软件攻击——2025年第三季度分析

2025年第三季度勒索软件受害者的行业分布显示出持续的跨行业影响，与之前几个季度相比基本没有变化。以利润为导向且停运成本高的组织，如工业制造业，以及持有敏感或受监管数据的组织，如商业服务，仍然是最受攻击的行业，各自约占所有勒索企图的10%。

医疗保健和医疗机构由于其运营的关键性和存储信息的敏感性，继续面临稳定的攻击。有趣的是，威胁行为者将这些受害者视为高风险目标，因为此类事件会吸引执法机构的关注。在2025年第二季度，医疗保健约占所有公开列出的受害者的8%，这一数字在第三季度保持稳定。

虽然一些团体，如Play Ransomware，似乎执行内部政策，不攻击医疗机构，但其他团体，如Qilin、INC Ransomware和KillSec，继续将医疗保健提供者列为其受害者，无视大型RaaS品牌所遵循的非正式道德界限。


结论

2025年第三季度的勒索软件生态系统仍然高度活跃且结构上碎片化，同时日益具备适应性。主要RaaS计划的解散并未减少攻击总量，而是将负载重新分配给了许多更小、更敏捷的行为者。Qilin和DragonForce等团体利用了这一趋势，通过激进的附属招募和服务创新进行扩张。LockBit的重新出现预示着围绕受信任品牌重新集中的潜在趋势。

尽管存在周期性的执法破坏，但勒索软件市场的基本动态，包括使用附属驱动的操作、数据勒索模型和跨平台工具，仍然完好无损。持续监控附属团伙的迁移模式和新兴的勒索技术对于理解这个去中心化生态系统如何在2025年剩余时间内演变至关重要。