2025年第二季度勒索软件态势
发布日期:2025年7月31日
原文链接:https://research.checkpoint.com/2025/the-state-of-ransomware-q2-2025/
关键发现
主要RaaS组织消失
多个知名勒索软件即服务(RaaS)组织停止发布新受害者,包括RansomHub、Babuk-Bjorka、FunkSec、BianLian、8Base、Cactus、Hunters International和Lockbit。虽然消失原因各异,但整体导致勒索软件生态碎片化,不再由一两个主要参与者主导。
公开受害者数量下降
与过去12个月月均数据相比,2025年第二季度数据泄露网站(DLS)列出的受害者数量下降6%。这一下降可能源于全球执法持续努力、受害者支付意愿降低,以及勒索软件运营者为降低风险暴露而进行战略调整。
Qilin成为新领导者并引入创新勒索方法
Qilin勒索软件组织在第二季度成为最主导的组织,提供工具和服务以增加对受害者的压力,例如准备监管投诉、联系客户或员工、淹没企业通信渠道。
持续从加密转向基于数据窃取的勒索
我们注意到一致从加密攻击转向数据外泄和公开曝光作为主要勒索方法。这一转变反映了操作实用主义和受害者响应模式的演变。
2025年第二季度勒索软件:活动下降与策略转变
2025年第二季度勒索软件生态发生多个重大发展。数据泄露网站(DLS)列出的受害者数量首次出现轻微下降。正如我们2025年度报告所述,持续的全球执法行动严重破坏了主要勒索软件即服务(RaaS)组织。这些行动包括取缔、起诉以及不仅曝光RaaS运营者还包括个别附属机构,导致行为者试图降低其可见性和法律风险。
密集的执法行动导致多个关键组织解散,包括LockBit,其最终打击于2025年5月通过黑客攻击和泄漏其内部数据实现。8Base组织也在类似压力下停止活动。此外,针对初始访问恶意软件基础设施(勒索软件的关键推动者)的行动导致攻击数量减少。
在政策方面,更多国家增加对赎金支付的限制。结合某些情况下不可靠的解密结果以及更广泛采用弹性备份策略,这些发展将全球勒索软件支付率推至历史低点——估计仅为25-27%。
随着操作风险上升和利润缩水,许多行为者要么完全放弃勒索软件,要么故意减少其暴露。DragonForce和Hunters International等组织的公开声明表明,他们正对受害者池更具选择性或完全远离基于加密的勒索。其他威胁行为者则悄悄从勒索软件场景中消失。
2025年第二季度似乎退出生态的组织包括RansomHub、Babuk-Bjorka、FunkSec、BianLian、8Base、Cactus和Hunters International。这些退出也与“虚假”或低质量攻击声称的显著下降相吻合——通常用于夸大声誉或进行无实际入侵的勒索——此前曾报道于FunkSec和Babuk-Bjorka等组织。
图1 – DLS每月报告的勒索软件受害者总数。
在审查期间,我们监控了超过75个活跃DLS平台,共列出1,607名新受害者。这标志着从2025年第一季度报告的2,289名受害者显著下降,尽管仍高于2024年第二季度记录的1,270名。值得注意的是,今年5月和6月是自2024年9月以来首次记录少于500名列出的受害者。
尽管出现下滑,勒索软件活动并未完全停止。随着主要RaaS服务关闭,许多附属机构独立运营或寻求新合作伙伴。结果是越来越多较小、通常短命的勒索软件实体出现。同时,老牌参与者积极竞争招募这些“孤儿”附属机构,如Qilin和DragonForce在RansomHub崩溃后的冲突所示(详见下文)。
作为这一重组的一部分,多个组织包括Play、Medusa、Akira、INC Ransom、Qilin、Lynx、Safepay和DragonForce似乎在一个收缩但仍活跃的生态中巩固其地位。
图2 – 2025年第二季度按公开声称受害者划分的勒索软件组织。
地理分布保持一致
2025年第二季度勒索软件受害者的地理分布继续反映勒索软件生态的长期模式。如先前季度所示,美国约占所有报告受害者的一半,强化了其作为财务动机威胁行为者主要目标的地位。大多数公开列出的受害者继续来自西方发达国家,这些国家的组织被认为拥有更多财务资源和更高支付赎金可能性。
图3 – 2025年第二季度按国家划分的勒索软件受害者。
按国家仔细查看受害者数据揭示,某些勒索软件组织表现出 distinct 地理偏好。Safepay勒索软件组织在德国非常活跃。本季度德国报告的76名受害者(相比第一季度74名)中,Safepay声称负责近40%。
图4 – 2025年第二季度按行为者划分的德国受害者。
Akira勒索软件特别关注意大利,其10%的受害者来自意大利公司,而一般生态中为3%。Satanlock的14%受害者来自巴西(36名巴西受害者中的9名)。
Qilin:在RansomHub崩溃后获得地盘
2025年4月初,RansomHub——主导的RaaS组织,填补了LockBit在2024年初衰退留下的真空——突然停止运营。其消失的确切情况仍不清楚,但对勒索软件生态的影响是立即的。随着RansomHub的数据泄露网站下线,其附属机构——在过去半年平均每月约75名列出的受害者——寻求新平台。许多似乎将业务转移至Qilin,后者在2025年第二季度活动几乎翻倍,从平均每月35名受害者跃升至近70名。
图5 – Qilin每月发布的受害者数量。
Qilin是最老牌的RaaS组织之一,自2022年以来有持续的发布受害者记录。它通过专用管理面板为附属机构提供全面工具包,包括加密器、谈判基础设施和支持服务。在RansomHub消失后,Qilin积极利用机会,增加在Ramp论坛的招募努力,并强调一系列增强功能。这些包括新集成的DDoS能力和谈判咨询,旨在在勒索阶段最大化对受害者的压力。
图6 – Qilin推广其新DDoS功能。
正如我们年度报告所述,更广泛的勒索软件景观显著从加密转向数据窃取和曝光作为主要勒索手段。基于加密的攻击携带更大操作复杂性和更高检测风险,而解密密钥支付率下降。相比之下,发布被盗数据的威胁开辟了新杠杆点。Qilin最近引入一套新服务,旨在放大对受害者的压力。这些包括提供法律协助以审查被盗数据、评估受害者管辖范围内潜在监管违规,并为提交至相关当局(如税务机构、执法或监管机构如FBI)准备文件。
此外,Qilin推广工具以垃圾邮件受害者的企业电子邮件地址和电话线路,并广告来自所谓“记者”的支持以创建公开泄露博客。虽然许多这些服务可能依赖AI工具,但它们是努力增加感到被迫支付赎金的受害者百分比的一部分。
图7 – Qilin在Ramp论坛推广新勒索工具。
DragonForce:营销策略和战略扩张
DragonForce是RaaS生态中的另一个老牌行为者,自2023年底以来其DLS上列出超过250名受害者。最初作为封闭组织运营,DragonForce在2024年中开始招募附属机构,逐渐过渡至更开放的RaaS模型。像Qilin和其他老牌参与者一样,DragonForce通过专用接口面板为附属机构提供全面工具包,包括加密工具、谈判框架和受害者管理能力。
图8 – DragonForce在Ramp论坛宣布卡特尔启动。
DragonForce的独特之处在于其战略专注于品牌和营销。2025年3月,该组织宣布形成所谓“勒索软件卡特尔”,一个旨在为附属机构提供更大自主权和品牌控制的框架。通过“白标”模型,附属机构可以利用DragonForce的基础设施,同时以自定义名称和品牌运营。
图9 – DragonForce标志集成至Ramp论坛标志。
这一可见性焦点在网络犯罪论坛Ramp更新其标志以纳入DragonForce徽章时进一步强调。
在2025年4月RansomHub意外消失后不久,DragonForce声称前组织已将其业务迁移至DragonForce平台并加入卡特尔倡议。
图10 – DragonForce宣布RansomHub加入其卡特尔。
他们通过发布据称显示RansomHub的DLS配置面板的截图支持这一断言。
图11 – 据称在DragonForce基础设施上设置RansomHub的新DLS。
4月和6月报告的受害者数量显示显著增加,表明可能流入先前与RansomHub结盟的附属机构。然而,这一增长是代表持久转变还是仅短期峰值仍有待观察。
与此扩张并行,DragonForce也响应增加执法审查,宣布更严格的附属机构筛选过程。4月,他们重申其“道德”边界,明确禁止对医疗目标攻击,并声明其目标是财务收益而非伤害。正如他们所说,“我们不是来杀人的——我们是来赚钱的。”
DragonForce的行为反映威胁组织远离基于加密的勒索的趋势。然而,尽管更广泛转向数据窃取勒索,基于加密的勒索软件仍然是严重威胁,特别是在旨在瘫痪操作和 disrupt 现金流的攻击中。这在2025年4月至5月 evident,当Scattered Spider在主要英国零售商包括Marks & Spencer和Co-op上部署DragonForce加密器,造成重大业务影响。
图12 – DragonForce每月发布的受害者数量。
Hunters International:转向低摩擦勒索
Hunters International在勒索软件景观中采取独特路径,逐渐远离传统基于加密的攻击,偏向低摩擦、仅数据的勒索模型。这一转变最终导致推出World Leaks,一个专门用于发布被盗数据和进行勒索而无加密受害者文件的新平台。
最初,Hunters International尝试更激进的勒索技术以压力受害者支付。这些包括“邮件列表”功能设计用于发送批量电子邮件至受害者的联系人,如员工、客户或合作伙伴,以及外包OSINT服务以增加对受害者的压力。然而,随时间推移,该组织转变策略,对齐其方法与更谨慎操作理念。
这一演变似乎由认识到公众和政府压力,特别是对赎金支付的限制或禁令,导致基于加密的勒索成功率急剧下降。响应中,Hunters International重新定义其策略:他们不再在每个终端上投放赎金记录或重命名加密文件。相反,他们悄悄直接发送通知至公司领导层,限制攻击意识至受害者组织内小圈子。
到2024年底,Hunters International公开声明其意图退出使用基于加密的勒索,引用与此类操作相关的增长风险。直到2025年5月才兑现承诺。同时,Hunters International为其前受害者提供加密文件的免费解密。
图13 – Hunters International从其DLS的关闭通知。
尽管如此,Hunters International仍积极勒索受害者。自2025年5月以来,其新基于数据的勒索平台World Leaks已列出超过30名受害者。数据泄露网站保持与原始Hunters International DLS相同的设计和结构,表明尽管战略 pivot 仍连续性。
图14 – World Leaks新DLS的截图。
人工智能在勒索软件操作中
勒索软件组织积极探索如何使用AI增强其操作。在先前报告中,我们强调FunkSec在恶意软件开发中使用AI,和Xanthorox创建AI生成的勒索软件变体。两个例子说明自动化和生成工具的早期实验。
在2025年第二季度,证据继续出现AI集成至勒索软件生态,特别是在受害者谈判中。一个 notable 例子是Global Group(也称为El Dorado或Blacklock),本季度列出17名受害者。在旨在招募附属机构的促销材料中,该组织强调包括“AI驱动的谈判支持”作为其RaaS产品的一部分。这表明增长兴趣使用AI微调心理压力、自动化交互,并可能改善勒索结果。
图15 – Global Group勒索软件招募视频的截图。
按行业划分的勒索软件攻击:2025年第二季度分析
2025年第二季度跨行业勒索软件受害者的分布反映广泛横截面影响,无单一垂直行业突出作为特定目标。
图16 – 2025年第二季度按行业划分的勒索软件受害者。
政府和教育实体仍列在较低位置,最可能由于相比营利组织支付赎金可能性降低。此外,大多数RaaS组织限制对某些国家和行业的攻击,部分为避免吸引执法注意力。虽然医疗通常被允许作为目标,但通常施加条件以避免危及生命的干扰。
尽管这些约束,医疗和医疗部门继续吸引显著注意力。健康组织包含大量敏感患者个人数据,使其成为数据窃取操作的有价值目标。在2025年第二季度,医疗相关组织占所有公开列出的勒索软件受害者的近8%。
INC Ransomware已成为医疗相关攻击中的主要行为者。INC列出的受害者近三分之一来自医疗和医疗领域,使其负责本季度所有医疗相关勒索软件披露的近17%。
图17 – 2025年第二季度按行业划分的INC Ransomware受害者。
总结
在2025年第二季度,主要RaaS组织数量下降,公开列出的受害者减少,各种威胁组织使用 evolving 勒索策略。虽然数据加密不再是默认方法,勒索软件继续适应并试图主导更碎片化和 volatile 的生态。