勒索软件联盟激增推动网络犯罪浪潮,安全警报升级

本文分析了近期勒索软件攻击激增41%的背后原因,揭示了Qilin、LockBit等团伙通过结盟共享工具与基础设施的新趋势,并指出工业、消费 discretionary和医疗成为主要攻击目标。报告还探讨了攻击战术的演变,如无文件操作和单重勒索数据泄露,并为组织提供了强化安全措施的建议。

勒索软件联盟激增推动网络犯罪浪潮,安全警报升级

新闻分析
2025年11月26日 · 5 分钟阅读

勒索软件攻击因新参与者的加入以及现有攻击者之间的合作而增加。预计在年底假期来临之前,这一趋势将进一步加剧。

攻击激增:季节性因素与犯罪联盟

恶意活动的季节性激增,加上勒索软件组织之间的联盟,导致9月至10月间的攻击增加了41%。根据NCC集团的报告,网络犯罪团伙Qilin仍然是最活跃的勒索软件散布者,在10月份的594起攻击中应对170起(29%)负责。

Sinobi和Akira紧随其后,分别占15%的勒索软件攻击,构成了2025年10月最活跃的三大勒索软件组织。

此次勒索软件攻击的激增,是在经历了数月相对稳定的攻击数量之后出现的(从4月到8月,包括4月至6月间的下降)。NCC报告称,活动在北半球夏季结束时开始回升,9月份录得28%的环比增长——这一势头现已加速,导致了10月份的峰值。

攻击目标:行业与地域分布

10月份的激增表明,威胁行为者正在典型网络犯罪最活跃的时期之前加紧其行动。“第四季度的‘黄金季度’见证了从黑色星期五、网络星期一到圣诞节的消费者支出高峰,这为网络威胁行为者提供了更大的机会,” NCC表示。

NCC集团的统计数据来源于对各勒索软件组织偏好的泄密网站的主动监控。在10月份的594起攻击中,工业领域仍然是受攻击最严重的行业,占所有攻击的28%(167起)。消费 discretionary行业(包括汽车制造商、零售企业和休闲设施)遭受了124起攻击。医疗保健行业以64起攻击跃居第三位。

从地域上看,北美受勒索软件攻击最严重,遭受了超过一半(62%)的事件,其次是欧洲(17%)和亚洲(9%)。

联盟涌现:犯罪轴心的形成

新参与者和勒索软件组织之间的联盟导致了10月份勒索软件攻击的整体增加。

例如,新近重新启动的LockBit 5.0组织已与其他著名的勒索软件即服务(RaaS)组织DragonForce和Qilin结盟。

威胁组织之间的联盟使它们能够共享工具、基础设施和战术,从而使攻击更加有效。NCC表示:“LockBit、DragonForce和Qilin之间的联盟结合了技术专长、资源和基础设施,创建了一个能够维持大规模勒索软件操作,同时使组织和执法部门的归因与应对复杂化的网络。”

尽管尚未证实有协调攻击,但这些松散的联盟可能充当了招募附属机构的工具。NCC补充说:“这种合作关系也可能旨在重建LockBit在网络犯罪社区内的声誉,向其附属机构保证,在2024年执法打击之后,它仍然具有持续的相关性和运营能力。”

此外,新入局的The Gentlemen勒索软件组织以21起针对医疗保健、金融服务和IT公司等的攻击声明闯入威胁格局。

NCC指出:“我们看到勒索软件组织和变种在格局中增多的部分原因是,网络犯罪的技术门槛越来越低。勒索软件构建器持续被泄露或发布,这意味着技术水平较低的威胁行为者仍然能够开展有效的活动。”

战术演变:规避执法与模糊界限

Rapid7的最新季度研究也发现,新建立的联盟正导致勒索软件活动激增,同时补充说,战术创新——从优化的勒索到双重勒索以及零日漏洞的利用——也在不法行为的增加中发挥了作用。

该季度还出现了88个活跃的勒索软件组织,高于第二季度的65个和第一季度的76个,这既标志着活动的增加,也突显了多变威胁环境形态的改变。

Rapid7报告称,像Qilin、SafePay和WorldLeaks这样的组织引领了一波针对商业服务、制造业和医疗保健等行业的联盟浪潮。这些相同的组织开始尝试无文件操作、单重勒索数据泄露以及附属服务产品,如勒索谈判协助——即组织中更资深的成员与经验较少的参与者合作勒索受害者。

网络勒索事件响应公司Coveware报告称,远程访问入侵、网络钓鱼/社会工程和软件漏洞利用仍然是入侵活动的核心,但它们之间的区别正日益模糊。

Coveware解释道:“对手越来越多地获取访问权限,不仅是通过登录系统,而且是说服他人为其配置访问权限。那些模糊了这些界限的活动——例如冒充SaaS支持团队或滥用帮助台流程以获得OAuth授权——展示了如何将人类信任‘工程化’为技术立足点。”

通过VPN、云网关和SaaS集成进行的基于凭证的入侵继续是勒索软件攻击的主要途径。Coveware的2005年第三季度勒索软件研究报告将Akira和Qilin确定为当前最突出的两种勒索软件变种。Coveware补充说,一些勒索软件组织正在重塑为仅从事数据盗窃的团队,放弃文件加密作为勒索策略。

安全建议:强化措施与保持警惕

NCC集团威胁情报主管Matt Hull表示,今年迄今已识别出200多种勒索软件变种。

“随着勒索软件活动加速,以及引人注目的攻击持续造成广泛的经济和运营中断,保持警惕比以往任何时候都更加关键。组织应利用此时机强化其安全措施并测试事件响应计划,” Hull说。“在我们进入年度威胁高峰季节之际,主动监控、员工意识教育和安全备份仍然是关键。”

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次