2025年第三季度勒索软件态势:趋势、战术与关键洞察
2025年第三季度,勒索软件领域已达到关键转折点。尽管年初有多起执法部门取缔行动,勒索软件攻击仍维持在历史高位。Check Point Research追踪到85个活跃勒索组织共涉及1,592名新受害者,同比增长25%。
虽然RansomHub和8Base等主要品牌已消失,但新的小型威胁行为体迅速填补了空缺,使得勒索软件即服务(RaaS)市场比以往更加碎片化。
创纪录的碎片化:85个活跃勒索组织
活跃勒索组织数量激增至85个的创纪录水平,仅第三季度就出现了14个新组织。这代表了有记录以来最分散的勒索软件生态系统。
- 前10大组织现在仅占所有受害者的56%(低于2025年第一季度的71%)
- 47个组织发布的受害者少于10个,表明涌入了一批发起独立攻击的小型敏捷附属组织
这种碎片化意味着防御者面临更大的不可预测性。小型临时组织缺乏声誉驱动动机在支付后提供解密工具,降低了受害者数据恢复的机会,并进一步削弱了对谈判结果的信任。
LockBit 5.0:勒索软件领导者的回归
一度被认为已被摧毁的LockBit以LockBit 5.0重新出现,这个升级版本具有多平台支持(Windows、Linux、ESXi)、更强的加密和增强的规避能力。在其臭名昭著的管理员"LockBitSupp"领导下的LockBit回归,表明寻求稳定、有声望的RaaS品牌的附属组织可能重新集中。
值得注意的细节
- 已有超过15名确认受害者被归因于LockBit 5.0
- 要求附属组织支付500美元押金加入,表明正在开展审查工作
LockBit 5.0在9月中旬攻击中的勒索信
Qilin领跑2025:利益高于意识形态
Qilin已成为2025年最活跃的勒索组织,第三季度平均每月75名受害者,比年初活动量翻倍。
尽管该组织声称有意识形态动机,但Check Point Research发现其活动纯粹是利益驱动的,针对广泛的行业和地区。
- 8月至9月期间对韩国金融部门发动了30次攻击
- 为附属组织提供高达85%的收入分成,使其成为最具吸引力的RaaS计划之一
DragonForce:营销与恶意软件的结合
新兴行为体DragonForce正在重新定义勒索组织如何竞争,不是通过代码而是通过品牌建设。通过在地下论坛宣布与LockBit和Qilin的"联盟",并提供帮助附属组织识别高价值文件的"数据审计服务",DragonForce模糊了勒索与分析之间的界限。
- 2025年第三季度列出了56名受害者
- 专注于德国和高收入公司
- 在犯罪论坛上通过激进的公关和招聘进行自我推广
这种自我营销趋势说明了犯罪RaaS运营商现在如何像初创企业一样竞争,通过功能、品牌可见度和附属激励来差异化。
Dragonforce广告数据审计服务
地理和行业影响
主要目标地区
- 美国:约占全球勒索软件受害者的50%
- 韩国:因Qilin的金融活动首次进入前十
- 德国、英国和加拿大:仍然是INC Ransom、Safepay和DragonForce等组织的主要目标
最受攻击的行业
- 制造业和商业服务,各占攻击的约10%
- 医疗保健稳定在8%,尽管一些主要RaaS品牌经常避开这些目标以限制审查
大局观:执法取缔与附属组织适应
尽管有多起取缔行动,整体勒索软件数量稳定在每月520至540名受害者。
为什么会这样?
- 执法部门主要针对基础设施和核心组织,而不是附属组织
- 附属组织在中断后迅速迁移或组建新组织
- 结果是短期下降和品牌消失,但整体攻击量具有长期韧性
2025年底及以后的展望
LockBit的重新出现,加上小型组织的碎片化,指向了一个混合未来:分散但围绕强大的传统品牌运行。
Check Point Research预计:
- 在较小的泄露网站上继续开展附属组织驱动的操作
- “数据审计"和多勒索模式等货币化策略不断增加
- 持续针对具有高赎金潜力的行业
展望
勒索软件活动仍然高企且具有韧性。即使主要品牌消失,新组织也会出现填补真空。勒索软件生态系统碎片化但具有适应性,使得附属组织驱动的RaaS模型更难破坏。
对于组织而言,预防和早期检测至关重要。监控附属组织迁移、数据泄露网站和共享基础设施可以提供新活动的早期预警。
领先这些不断演变的威胁需要的不仅仅是端点保护。Check Point的外部风险管理平台帮助组织全面了解其外部风险和勒索软件暴露面。它持续映射攻击面,监控开放、深层和暗网,并在受损资产成为利用点之前识别它们。通过将这些情报与Check Point的预防和检测技术集成,安全团队可以更早地预测威胁,更快地协调,并增强对下一波勒索软件攻击的韧性。
要了解有关勒索软件态势的更多信息,请下载我们的第三季度报告。