2025年第三季度勒索软件态势:碎片化加剧与LockBit回归

本文深入分析了2025年第三季度全球勒索软件的演进态势,揭示了勒索软件即服务(RaaS)生态的显著碎片化、LockBit 5.0的强势回归、主要勒索团伙的活动变化,以及对不同行业和地区的攻击趋势。报告基于对85个活跃数据泄露网站的监测数据。

主要发现

  • 创纪录的碎片化与去中心化:2025年第三季度,活跃的勒索团伙数量达到创纪录的85个。前十大团伙仅占所有公布受害者的56%,低于第一季度的71%。
  • 稳定在高位的攻击活动:勒索软件受害者公布数量稳定在每月平均535名,高于2024年同期的420名,但低于2025年第一季度的峰值。
  • LockBit卷土重来:LockBit于2025年9月发布LockBit 5.0并重新出现,可能预示着附属团伙在主要品牌下重新集中的趋势。
  • 新兴主导力量:Qilin成为最活跃的团伙,平均每月75名受害者,其次是Akira、INC Ransom和Play。
  • 区域集中度转移:Qilin针对韩国金融业发起重点攻击活动,使韩国进入受攻击最严重国家前十名。
  • 行业影响:制造业和商业服务仍然是受影响最严重的行业。尽管Play等主要团伙有选择性地避开医疗行业,但其受害者占比稳定在8%。

2025年第三季度的勒索软件:RaaS碎片化加剧,LockBit归来

2025年第三季度,我们监测了超过85个活跃的数据泄露网站(DLS),这些网站共列出了1,592名新受害者。与2025年第二季度报告的1,607名受害者相比,公布率保持稳定,但仍显著高于2024年第三季度记录的1,270名受害者(同比增长25%)。总体而言,每月约有520至540名新受害者,表明勒索软件活动在高位趋于平稳。

尽管几个知名的勒索软件团伙被瓦解,但活跃的威胁行为者总数持续增长,每月都有新的团伙出现。2025年第三季度,我们观察到双重勒索活动稳步扩张,主要由小型和新兴的运营商驱动。在本季度追踪的85个数据泄露网站中,有47个团伙公布的受害者少于10名,这表明越来越多的附属团伙开始脱离成熟的勒索软件即服务(RaaS)项目,独立进行攻击。

这种碎片化是在今年多个主要RaaS品牌关闭或休眠之后出现的,包括RansomHub、8Base、BianLian、Cactus等。仅在第三季度,就有14个新团伙开始公布受害者,使得2025年新观察到的行为者总数达到45个。第一季度,最活跃的10个团伙占所有DLS发布量的71%。第二季度,其份额下降至63%,到了第三季度,仅为56%。

这些发现说明了执法行动对勒索软件受害者总数的长期影响有限。尽管过去一年进行了多次引人注名的打击行动——其中大多数针对的是大型RaaS行动,如LockBit、8Base和Blacksuit——但攻击总量并未显著下降。相反,攻击活动呈现逐渐上升的趋势,从2024年第二至第三季度平均每月约420名受害者,上升到2025年同期的约535名。

这种有限的影响似乎源于执法工作的重点:打击行动主要针对RaaS基础设施和管理员,但这并不影响进行入侵和驱动操作执行的附属运营商。当一个主要的RaaS平台被破坏时,这些附属团伙通常会迁移到其他项目或建立自己的数据泄露网站,导致整体活动水平仅出现短期中断。

附属团伙的流动性影响既体现在新泄露网站的激增上,也体现在现有团伙活动增加上。2025年第三季度最活跃的行为者Qilin(也是招募前RansomHub附属团伙最积极的团伙之一)平均每月约75名受害者,高于RansomHub于4月关闭前第一季度的36名。INC Ransomware的月度总数从23名增加到39名,Play在同一时期从28名增加到33名。

生态系统的持续碎片化可能进一步削弱勒索软件运营商的可靠性。传统上,受害者在付款后依赖攻击者的声誉来提供解密密钥。大型RaaS品牌有保持信誉和提供密钥的商业动机,但小型、短命的团伙则没有,这导致支付率降低,目前估计为总攻击数的25-40%。

在此背景下,附属团伙围绕主要、知名品牌的重新集中具有重要的战略意义。大型RaaS项目通过稳定性、声誉和结构化的附属基础设施保持其市场优势。下一节讨论的LockBit重新出现,可能正代表了附属团伙在一个稳定且可信赖的品牌标识下的重新整合。

Qilin、Akira、INC Ransom、Play和Safepay在第三季度保持了最活跃团伙的地位。Warlock和The Gentlemen是较新出现的团伙,均表现出快速的早期活动:Warlock于2025年6月开始公布受害者,在第三季度总计达到43个列表;而The Gentlemen在2025年9月单月运营中声称有38名受害者。

Lockbit 5.0到来 – LockBit真的回来了吗?

在2024年初的“Cronos行动”中被破坏之前,LockBit主导着RaaS生态系统,占所有公布受害者的20-30%。在打击之后,宣布了几起逮捕行动,后继团伙——先是RansomHub,然后是Qilin——试图继承其附属基础。然而,该团伙的核心管理员LockBitSupp从未被抓获,并在地下论坛中继续暗示最终会卷土重来。

2025年9月发布的LockBit 5.0标志着该团伙重新开始活跃运营,重新引发了RaaS格局是否会再次围绕这个长期存在的品牌进行整合的问题。

LockBit长期以来一直承诺会回归。2025年5月,在经历了一系列公开挫折的最新一次之后,该团伙的管理员LockBitSupp在RAMP地下论坛上回应,宣称他们“在被黑客攻击后总会重新站起来”。

俄语网络犯罪论坛XSS此前因与另一用户的争端而禁止了LockBitSupp,并重申“明确宣传RaaS仍将被禁止”。RaaS项目的商业模式依赖于附属团伙的招募,在XSS或RAMP等知名犯罪论坛上保持曝光度对其工作至关重要。

到9月初,XSS管理员报告称LockBitSupp请求恢复身份,并将决定交由社区投票。

尽管做出了努力,但投票最终失败,LockBit仍被禁止访问XSS。

2025年9月初,LockBit在RAMP上宣布正式推出LockBit 5.0,恰逢其运营六周年。新的附属团伙被要求提供约500美元的比特币押金,以获得新的加密器和更新的控制面板访问权限。

自该公告发布以来,我们识别出超过15名不同的受害者受到LockBit 5.0的影响,该版本取代了直到2025年4月仍活跃的早期4.0版本。LockBit继续严格执行操作安全:所有附属界面都需要个性化的凭证,并且该团伙的数据泄露网站上尚未公开列出任何受害者。

更新的勒索信现在明确标识为“LockBit 5.0”,并包含一个唯一的个人标识符,允许每个受害者访问私人谈判门户。通常在窃取的数据被公布之前,受害者会获得30天的宽限期。

对初始活动的分析显示,大约65%的已识别攻击针对美国的组织,其余影响墨西哥、印度尼西亚和几个欧洲国家。

LockBit 5.0代表了先前4.0版本的升级演进,包含了Windows、Linux和ESXi变体。新版本引入了增强的规避和反分析机制、更快的加密例程,以及使用随机的16字符文件扩展名来干扰基于签名的检测。大多数已确认的感染部署在Windows系统上,而大约20%针对ESXi虚拟基础设施。

历史上,LockBit一直是最具活力和破坏性的RaaS项目之一。凭借其丰富的经验以及新附属团伙更低的准入门槛,该团伙的重新出现对许多行业的组织构成了新的风险。9月份观察到的行动可能只是一个更大活动的前沿,预计10月份LockBit数据泄露网站上的受害者公布将证实其全面运营回归。

DragonForce的营销努力

DragonForce在新兴勒索软件团伙中脱颖而出,因其高度重视公共关系和联盟品牌,经常在犯罪论坛上发布引人注目的声明和合作伙伴关系声明。2025年9月,它在RAMP上宣布了与Qilin和LockBit所谓的“联盟”,作为一个统一的附属倡议呈现。

然而,这些声明在很大程度上是象征性的,没有共享基础设施或联合行动的验证证据。这些公告可能旨在吸引附属团伙,并在碎片化的RaaS市场中投射影响力。这反映了DragonForce在日益竞争激烈的地下生态系统中保持可见度和信誉的更广泛战略。

自RansomHub关闭以来,DragonForce的月度受害者数量大约增加了两倍,并在2025年第三季度声称有56名受害者。这仍然少于Qilin和Akira,但显示出稳定的增长。DragonForce继续积极招募附属团伙,并推广其RaaS项目的新功能,最近在RAMP上宣布了一项数据驱动的勒索服务,为附属团伙提供被盗数据的定制分析,以最大化勒索筹码。

在这种模式下,从年收入超过1500万美元的公司获取大型数据集(通常超过300 GB)的附属团伙可以提交数据进行审计,以最大化勒索影响。在最近展示的一个例子中,DragonForce审查了一家金矿公司被盗的文件,并突出了最有价值的商业和金融信息,附带一封定制的勒索信。

Qilin – 2025年占主导地位的RaaS行动

Qilin仍然是2025年最活跃的勒索软件团伙,将其月度受害者数量从第一季度的36名增加到第三季度的平均75名。

尽管该团伙自称出于意识形态动机,但其行动似乎完全由经济利益驱动。在2024年6月发布在其WikiLeaksV2博客上的一次采访中,Qilin的操作者将自己描述为“热爱我们国家的理想主义者”。然而,这一说法与该团伙跨越多个行业和地区的广泛且机会主义的目标选择形成鲜明对比。

在SuspectFile上的另一次采访中,一名Qilin附属成员将该项目描述为以利润为导向且灵活,附属团伙负责入侵和数据窃取,而Qilin负责管理基础设施、泄露网站运营和谈判。据报道,附属团伙的分成比例在80%到85%之间,这是市场上最高的比例之一。这吸引了之前活跃在RansomHub和BianLian下的众多运营商。

Qilin开放的附属框架容纳了具有不同动机和能力的行动者。在最近的一个案例中,该团伙的数据泄露网站短暂地将以色列的沙米尔医疗中心列为其受害者之一。

据以色列研究员Erez Dassa称,负责的附属团伙很可能是一个与伊朗有关的威胁行为者。Dassa报告称,经过直接沟通,Qilin的管理员同意公开与恐怖主义或政治动机活动相关联可能会使该团伙面临额外压力,随后删除了该列表。

这一事件说明了大型RaaS生态系统内运作的各种动机。虽然附属团伙享有广泛的自主权,但Qilin表现出一定程度的中央监督和声誉管理,移除可能危及其长期运营的政治敏感案例。该团伙继续平衡开放招募和战略控制,保持其作为领先且具有韧性的RaaS品牌的地位。

受害者地理分布 – 2025年第三季度

2025年第三季度勒索软件受害者的地理分布继续遵循全球勒索软件生态系统的既定趋势。美国约占所有报告案例的一半, reaffirming its position as the primary target for financially motivated threat actors。大多数公开列出的受害者仍然集中在西方发达经济体,这些地区的组织被认为拥有更多的财务资源,支付赎金的可能性更高。

韩国异常集中的攻击事件使其在本季度进入受影响最严重国家名单的第七位。这一激增几乎完全与Qilin有关,该团伙列出了30名韩国受害者,其中28名是在2025年8月至9月之间。其中23名属于金融服务行业。虽然这次重点攻击活动的原因尚不确定,但《韩国先驱报》将其归因于一家为多个中型私募股权基金服务的IT承包商运营的云服务器遭到入侵。

Safepay保持对德国和英国的强烈关注,在第三季度各自约占其总受害者的10%。与同样记录了11名英国受害者的INC Ransom一起,这两个团伙是英国最活跃的,其次是Qilin,有10名。

DragonForce的受害者中有20%位于德国,使其成为该国最活跃的勒索软件团伙。

INC Ransom报告的加拿大受害者比例异常高(8%),这是本季度针对加拿大组织的任何团伙中最大的份额。

按行业划分的勒索软件攻击 – 2025年第三季度分析

2025年第三季度勒索软件受害者的行业分布显示出持续的跨行业影响,与之前几个季度相比基本没有变化。以利润为导向且停机成本高的组织,如工业制造业,以及持有敏感或受监管数据的组织,如商业服务业,仍然是受攻击最严重的行业,各自约占所有勒索企图的10%。

医疗和医疗机构由于其运营的关键性以及存储信息的敏感性,继续面临稳定的攻击。有趣的是,威胁行为者将这些受害者视为高风险目标,因为此类事件会吸引执法部门的关注。2025年第二季度,医疗行业约占所有公开列出的受害者的8%,这一数字在第三季度保持稳定。

虽然一些团伙,如Play Ransomware,似乎执行内部政策,不攻击医疗机构,但其他团伙如Qilin、INC Ransomware和KillSec继续将医疗保健提供商列为其受害者,无视大型RaaS品牌遵守的非正式道德边界。

结论

2025年第三季度的勒索软件生态系统仍然高度活跃且结构上碎片化,同时适应性日益增强。主要RaaS项目的解散并未减少攻击总量,而是将负荷重新分配给了众多更小、更敏捷的行动者。Qilin和DragonForce等团伙利用了这一趋势,通过激进的附属招募和服务创新进行扩张。LockBit的重新出现预示着围绕可信赖品牌重新集中的潜在趋势。

尽管执法部门定期进行破坏,但勒索软件市场的基本动态——使用附属驱动运营、数据勒索模型和跨平台工具——仍然完好无损。持续监测附属团伙的迁移模式和新出现的勒索技术对于理解这个去中心化的生态系统在2025年剩余时间如何演变至关重要。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次