勒索软件攻击激增30%：技术细节与威胁态势深度分析

攻击态势概览

勒索软件攻击在10月份飙升30%，达到创纪录的第二高水平。Cyble今日报告显示，10月份记录的623起勒索软件攻击仅次于2025年2月创下的854起记录，当时CL0P MFT活动推动了攻击总数。Cyble在博客文章中指出，10月份是勒索软件攻击连续第六个月增长。

主要攻击团伙活动

Qilin再次成为最活跃的勒索软件组织，这是自RansomHub衰落以来七个月中的第六次。Qilin声称的210名受害者是第二名Akira的三倍（下图）。紧随Akira之后的是Sinobi，有69名受害者，这个于7月首次出现的组织实现了显著增长。

行业目标分析

建筑、专业服务、医疗保健、制造业、IT以及能源/公用事业是受攻击最多的行业（下图）。

Cyble指出，10月份有31起事件可能影响了关键基础设施，另外26起事件可能对供应链产生影响。

地域分布特征

美国再次成为受攻击最严重的国家，其361起攻击是第二名加拿大的10倍（下图）。

“令人担忧的是澳大利亚成为前五大目标之一，该国丰富的资源和高人均GDP使其成为威胁行为者的丰厚目标，“Cyble指出。

年度趋势与团伙演变

今年迄今为止，勒索软件攻击增长了50%，截至10月31日共有5,194起勒索软件攻击。Cyble表示：“随着Qilin、Sinobi和The Gentlemen等新领导者的出现，已经完全弥补了LockBit和RansomHub等前领导者的衰落。”

漏洞利用技术分析

关键漏洞目标

Cyble表示，关键IT漏洞和未修补的面向互联网资产助长了今年勒索软件和供应链攻击的增长。10月份针对的漏洞包括：

• CVE-2025-61882：Oracle电子商务套件中的漏洞——被Cl0p针对
• CVE-2025-10035：GoAnywhere MFT中的漏洞——被Medusa利用
• CVE-2021-43226：Microsoft Windows权限提升漏洞——根据CISA咨询，被未知勒索软件组织利用
• CVE-2025-6264：Velociraptor中的漏洞——被Warlock勒索软件操作者针对
• CVE-2024-1086：Linux内核netfilter:nf_tables模块中的漏洞——根据CISA咨询，被未知勒索软件组织利用

攻击技术与演进

远程工具劫持技术

勒索软件操作者"越来越多地劫持或静默安装合法的远程访问工具”，如AnyDesk、RustDesk、Splashtop和TightVNC，在凭证泄露后获得持久访问、控制、防病毒中和和勒索软件交付。

BlackSuit攻击链分析

最近的BlackSuit活动使用Vishing窃取VPN凭证进行初始访问，在域控制器上使用DCSync进行高权限访问，并使用AnyDesk和自定义RAT保持持久性。“其他措施包括使用CCleaner清除取证痕迹，以及使用Ansible在ESXi主机上部署BlackSuit勒索软件，加密数百个VM并造成重大运营中断，“Cyble说。

Qilin技术手段

Qilin附属机构通过滥用远程管理工具如WinSCP、Splashtop、AnyDesk和ScreenConnect，在Windows机器上部署基于Linux的勒索软件二进制文件，并利用BYOVD（自带易受攻击驱动程序）攻击等工具和策略。

Trigona数据库攻击

Trigona勒索软件操作者暴力破解暴露的MS-SQL服务器，将恶意软件嵌入数据库表中并将其导出到磁盘以安装有效负载。

勒索软件即服务发展

DragonForce公开计划

DragonForce在RAMP网络犯罪论坛上发帖称，正在向公众开放其合作伙伴计划，提供专业文件分析/审计、哈希解密、呼叫支持和免费受害者存储等服务。注册需要500美元不可退还的费用。附属机构被警告要遵守该组织的规则，“否则将面临账户封锁或免费解密器分发”。

Zeta88技术更新

Zeta88——据称是The Gentlemen勒索软件的操作者——宣布更新其Windows、Linux和ESXi加密器，包括Windows的静默模式，可在不重命名文件的情况下加密并保留时间戳，以及跨网络和域的自传播功能。该版本还引入了多种加密速度模式、Windows操作模式和通用解密器。

完整的Cyble博客还包括推荐的最佳实践和近期高置信度的Qilin危害指标（IoCs）。