2025年第三季度勒索软件态势:生态碎片化加剧与LockBit回归

本文基于Check Point Research报告,详细分析了2025年第三季度全球勒索软件的发展态势。关键发现包括活跃勒索团伙数量创纪录达到85个,生态呈现去中心化;LockBit以5.0版本强势回归;以及制造业、商业服务与医疗保健仍是主要攻击目标。报告深入剖析了勒索软件即服务(RaaS)模式的演变、攻击地域与行业分布变化,以及执法行动对勒索生态的有限影响。

主要发现

  • 创纪录的碎片化与去中心化:2025年第三季度活跃的勒索团伙数量增至创纪录的85个,为迄今最高。前十大团伙仅占所有公布受害者的56%,低于第一季度的71%。
  • 稳定的高活跃度:每月公布的勒索软件受害者数量稳定在平均535名,高于2024年第二至三季度的420名,但低于2025年第一季度的峰值。
  • LockBit回归:LockBit于2025年9月发布5.0版本后重新出现,可能预示着附属团伙在主要品牌下重新聚集。
  • 新兴主导者:Qilin成为最活跃的团伙,平均每月75名受害者,其次是Akira、INC Ransom和Play。
  • 地区集中度变化:在Qilin针对其金融行业的集中攻击活动后,韩国进入受攻击最严重国家前十名。
  • 行业影响:制造业和商业服务仍是受影响最严重的行业。尽管Play等主要团伙选择性避免攻击,医疗保健行业受害者仍稳定占总数的8%。

2025年第三季度勒索软件:RaaS碎片化加剧,LockBit回归

在2025年第三季度,我们监测到超过85个活跃的数据泄露网站,共列出了1,592名新受害者。与2025年第二季度报告的1,607名受害者相比,公布率保持稳定,但仍显著高于2024年第三季度记录的1,270名受害者(同比增长25%)。总体而言,每月约有520至540名新受害者,表明勒索软件活动虽处历史高位,但已趋于稳定。

尽管多个知名勒索团伙被瓦解,活跃威胁行为者的总数仍在持续增长,每月都有新团伙出现。 在2025年第三季度,我们观察到双重勒索活动稳步扩张,主要由小型和新兴的操作者驱动。本季度跟踪的85个数据泄露网站中,有47个团伙公布的受害者少于10名,这表明越来越多的附属团伙正超越既定的勒索软件即服务项目,独立发动攻击。

这种碎片化是在年内多个主要RaaS品牌关闭或休眠后出现的,包括RansomHub、8Base、BianLian、Cactus等。仅在第三季度,就有14个新团伙开始公布受害者,使2025年新观测到的行为者总数达到45个。第一季度,十个最活跃的团伙占所有数据泄露网站发布量的71%。第二季度,其份额降至63%,到第三季度,仅为56%。

这些发现说明了执法行动对勒索软件受害者总数的长期影响有限。尽管过去一年进行了多次引人注名的打击行动——其中大多针对大型RaaS组织,如LockBit、8Base和Blacksuit——但攻击总量并未显著下降。相反,攻击活动呈逐渐上升趋势,从2024年第二至三季度平均每月约420名受害者,上升到2025年同期的约535名。

这种有限的影响似乎源于执法行动的焦点:打击行动主要针对RaaS基础设施和管理员,这并不影响进行入侵和驱动实际操作执行的附属操作者。当一个主要的RaaS平台被破坏时,这些附属通常会迁移到其他项目或建立自己的数据泄露网站,导致整体活动水平仅出现短期中断。

附属流动性的影响在新泄露网站的激增和现有团伙活动的上升中都很明显。2025年第三季度最活跃的行为者——Qilin,也是最积极招募前RansomHub附属的团伙之一——平均每月约75名受害者,高于其在4月RansomHub关闭前第一季度的36名。INC Ransomware将其月度总数从23名增加到39名,Play在同一时期从28名增加到33名。

生态系统的持续碎片化可能进一步削弱勒索软件操作者的可靠性。受害者传统上依赖攻击者的声誉在支付后提供解密密钥。大型RaaS品牌有商业动机来维持信誉并提供密钥,但小型、短命的团伙则没有,这导致支付率降低,目前估计为总攻击次数的25-40%。

在此背景下,附属团伙围绕主要、知名品牌的重新集中仍具有战略意义。大型RaaS项目通过稳定性、声誉和结构化的附属基础设施来保持其市场优势。下文将讨论的LockBit重新出现,可能正代表了附属在稳定且受信任的品牌身份下的重新整合。

Qilin、Akira、INC Ransom、Play和Safepay在第三季度保持了最活跃团伙的地位。Warlock和The Gentlemen是最近出现的,两者都展示了快速的早期活动:Warlock于2025年6月开始公布受害者,并在第三季度达到43个总列表,而The Gentlemen在2025年9月单月运营中声称有38名受害者。

Lockbit 5.0 已至 – LockBit真的回来了吗?

在2024年初“Cronos行动”中被破坏之前,LockBit主导着RaaS生态系统,占所有公布受害者的20-30%。瓦解之后,宣布了几次逮捕,继任团伙——先是RansomHub,然后是Qilin——试图继承其附属基础。然而,该团伙的核心管理员LockBitSupp从未被捕,并在地下论坛上继续暗示最终会卷土重来。

2025年9月发布的LockBit 5.0标志着该团伙重返活跃运营,重新引发了关于RaaS格局是否会再次围绕这个老牌品牌整合的问题。

LockBit长期以来一直承诺会回归。2025年5月,在一系列公开挫折之后,该团伙的管理员LockBitSupp在RAMP地下论坛上回应,宣称他们“在被黑客攻击后总会重新崛起”。

俄语网络犯罪论坛XSS此前在与另一用户发生争执后禁用了LockBitSupp,并重申“明确宣传RaaS仍然被禁止”。RaaS项目的商业模式依赖于附属招募,在XSS或RAMP等知名犯罪论坛上保持可见性对其工作至关重要。

到9月初,XSS管理员报告称LockBitSupp请求恢复其身份,并将决定交由社区投票。

尽管付出了努力,投票最终失败,LockBit仍被XSS禁止。

2025年9月初,LockBit在RAMP上宣布正式推出LockBit 5.0,恰逢该行动六周年。新的附属被要求提供约500美元的比特币押金,以获得新的加密器和更新的控制面板访问权限。

自该公告发布以来,我们确定了超过15名受LockBit 5.0影响的独立受害者,它取代了直到2025年4月仍活跃的早期4.0版本。LockBit继续执行严格的操作安全措施:所有附属界面都需要个性化的凭证,并且没有受害者在团伙的数据泄露网站上公开列出。

更新后的勒索信现在明确标识自己为“LockBit 5.0”,并包含一个唯一的个人标识符,允许每个受害者访问私人谈判门户。通常在窃取数据公布前,受害者会获得30天的宽限期。

对初始活动的分析显示,约65%已识别的攻击针对美国组织,其余影响墨西哥、印度尼西亚和几个欧洲国家。

LockBit 5.0代表了先前4.0版本的升级演进,包含了Windows、Linux和ESXi变体。新版本引入了增强的逃避和反分析机制、更快的加密例程,以及使用随机的16字符文件扩展名来破坏基于签名的检测。大多数已确认的感染部署在Windows系统上,而大约20%针对ESXi虚拟基础设施。

历史上,LockBit一直是最活跃和最具破坏性的RaaS项目之一。凭借其丰富的经验和对新附属更低的进入门槛,该团伙的重新出现对许多行业的组织构成了新的风险。9月观察到的行动可能仅代表更大规模活动的先头部分,LockBit数据泄露网站10月份的受害者发布预计将证实其全面运营回归。

DragonForce的营销努力

DragonForce在勒索软件新兴团伙中以其对公共关系和联盟品牌的高度重视而脱颖而出,经常在犯罪论坛上发表引人注目的声明和合作声明。2025年9月,它在RAMP上宣布与Qilin和LockBit建立所谓的“联盟”,被呈现为一个统一的附属倡议。

然而,这些声明在很大程度上是象征性的,没有共享基础设施或联合运营的经核实证据。这些公告可能旨在吸引附属,并在碎片化的RaaS市场中投射影响力。这反映了DragonForce在日益竞争激烈的地下生态系统中保持可见度和可信度的更广泛战略。

自RansomHub关闭以来,DragonForce的月度受害者数量大约增加了两倍,并在2025年第三季度声称有56名受害者。这仍少于Qilin和Akira,但显示出稳定增长。DragonForce继续积极招募附属并推广其RaaS项目的新功能,最近在RAMP上宣布了一项数据驱动的勒索服务,为附属提供被盗数据的定制分析,以最大限度地提高勒索筹码。

在这种模式下,从年收入超过1500万美元的公司获取大型数据集(通常超过300 GB)的附属可以提交数据进行分析,以最大化勒索影响。在最近展示的一个例子中,DragonForce审查了一家金矿公司被盗的文件,并突出了最有价值的商业和财务信息,并附上了一封定制的勒索信。

Qilin – 2025年主导的RaaS运营

Qilin仍然是2025年最活跃的勒索软件团伙,其月度受害者率在第三季度平均增至75名,高于第一季度的36名。

尽管该团伙将自己表现为意识形态驱动,但其运营似乎完全由经济利益驱动。在2024年6月发布在其WikiLeaksV2博客上的一次采访中,Qilin的操作者形容自己是“热爱祖国的理想主义者”。然而,这一声明与该团伙跨行业和跨地域的广泛且机会主义的目标定位形成了鲜明对比。

在SuspectFile的另一次采访中,一名Qilin附属将该项目描述为以利润为中心且灵活,附属负责入侵和数据窃取,而Qilin管理基础设施、泄露网站运营和谈判。报告的附属分成比例在80%到85%之间,是市场上最高的之一。这吸引了许多之前在RansomHub和BianLian旗下活跃的操作者。

Qilin开放的附属框架容纳了具有不同动机和能力的参与者。在最近的一个案例中,该团伙的数据泄露网站短暂地将以色列的沙米尔医疗中心列为其受害者之一。

据以色列研究员Erez Dassa称,负责的附属很可能是一个与伊朗有关的威胁行为者。Dassa报告称,经过直接沟通,Qilin的管理员同意公开与恐怖主义或政治动机活动相关联可能会使该团伙面临额外压力,随后删除了该列表。

这一事件说明了大型RaaS生态系统内运作的各种动机。虽然附属享有广泛的自主权,但Qilin展示了一定程度的中央监督和声誉管理,移除可能危及其长期运营的政治敏感案例。该团伙继续平衡开放招募和战略控制,保持其作为领先且有韧性的RaaS品牌的地位。

受害者地域分布 – 2025年第三季度

2025年第三季度勒索软件受害者的地域分布继续遵循全球勒索软件生态系统的既定趋势。美国约占所有报告案例的一半,重申了其作为经济利益驱动的威胁行为者主要目标的地位。大多数公开列出的受害者仍然集中在西方发达经济体,这些地区的组织被认为拥有更大的财政资源,支付赎金的可能性更高。

韩国异常集中的攻击事件将其提升至本季度受影响最严重国家名单的第七位。这一激增几乎完全与Qilin有关,该团伙列出了30名韩国受害者,其中28名是在2025年8月至9月期间。其中23名属于金融服务行业。虽然这种针对性活动的原因仍不确定,但《韩国先驱报》将其归因于一家为多家中型私募股权基金服务的IT承包商运营的云服务器遭到入侵。

Safepay在德国和英国保持了强烈的关注,各自约占其第三季度总受害者的10%。与同样记录了11名英国受害者的INC Ransom一起,这两个团伙在英国最为活跃,紧随其后的是有10名受害者的Qilin。

DragonForce的20%受害者位于德国,使其成为该国最活跃的勒索软件团伙。

INC Ransom报告的加拿大受害者比例异常高(8%),是本季度针对加拿大组织的任何团伙中最大的份额。

按行业划分的勒索软件攻击 – 2025年第三季度分析

2025年第三季度勒索软件受害者的行业分布显示出持续的跨行业影响,与之前几个季度相比基本未变。利润导向且停机成本高的组织,如工业制造业,以及持有敏感或受监管数据的组织,如商业服务,仍然是主要攻击目标,各自约占所有勒索企图的10%。

医疗保健和医疗机构由于运营的关键性和存储信息的敏感性,继续面临稳定的攻击。有趣的是,威胁行为者将这些受害者视为高风险目标,因为此类事件会吸引执法部门的关注。在2025年第二季度,医疗保健约占所有公开列出受害者的8%,这一数字在第三季度保持稳定。

虽然一些团伙,如Play Ransomware,似乎执行内部政策不攻击医疗机构,但其他如Qilin、INC Ransomware和KillSec继续将医疗保健提供者列为其受害者,无视大型RaaS品牌所遵守的非正式道德边界。

结论

2025年第三季度的勒索软件生态系统仍然高度活跃且结构分散,同时适应性越来越强。主要RaaS项目的解散并未减少攻击总量,而是将攻击负载重新分配给了许多更小、更敏捷的行为者。Qilin和DragonForce等团伙利用了这一趋势,通过积极的附属招募和服务创新进行扩张。LockBit的重新出现标志着围绕可信赖品牌进行重新集中的潜在趋势。

尽管有定期的执法打击,但勒索软件市场的基本动态,包括使用附属驱动的运营、数据勒索模型和跨平台工具,仍然完好无损。持续监控附属迁移模式和新兴的勒索技术对于理解这个去中心化生态系统在2025年剩余时间如何演变至关重要。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次