2025年2月勒索软件流行态势分析

勒索软件流行态势分析2025 年 2 月三六零数字安全科技集团 | 高级威胁研究分析中心360 数字安全——数字安全的领导者第 1 页勒索软件传播至今，360 反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360 全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供 360 反勒索服务。2025 年 2 月，全球新增的双重勒索软件家族包有 Anubis 和 RunSomeWares，前者具备跨平台的勒索能力并主要以数据窃取为主。老牌双重勒索软件 Clop 勒索软件利用软件漏洞（疑似 Craft CMS CVE-2025-23209 与 Palo Alto Networks PAN-OS CVE-2025-0111）在 2 月份纪录式地入侵了 335 个受害者，以北美为地区主。以下是本月值得关注的部分热点：黑客利用 SimpleHelp RMM 漏洞部署 Sliver 恶意软件CISA 和 FBI 表示 Ghost 勒索软件入侵了 70 个国家或地区的组织新的 NailaoLocker 勒索软件被用于攻击欧盟的医保组织基于对 360 反勒索服务数据的分析研判，360 数字安全集团高级威胁研究分析中心(CCTGA 勒索软件防范应对工作组成员）发布本报告。360 数字安全——数字安全的领导者第 2 页感染数据分析针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor 家族占比 24.42%居首位，第二的是 RNTC 占比 16.28%的，Makop 家族以 15.12%位居第三。图 1. 2025 年 2 月勒索软件家族占比360 数字安全——数字安全的领导者第 3 页对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、WindowsServer 2008 以及 Windows Server 2016。图 2. 2025 年 2 月勒索软件入侵操作系统占比360 数字安全——数字安全的领导者第 4 页2025 年 2 月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面 PC 与服务器平台较为接近，NAS 平台以内网 SMB 共享加密为主。图 3. 2025 年 2 月勒索软件入侵操作系统类型占比勒索软件热点事件黑客利用 SimpleHelp RMM 漏洞部署 Sliver 恶意软件黑客以存在漏洞的 SimpleHelp RMM 客户端为目标，创建管理员帐户、放置后门并可能为勒索软件攻击奠定基础。被利用的漏洞编号为 CVE-2024-57726、CVE-2024-57727和 CVE-2024-57728。上周有报告称这些漏洞可能被 Arctic Wolf 利用，但尚未找到确切证据。此外，网络安全研究人员还观察到的活动有 Akira 勒索软件攻击的迹象，不过目前没有足够的证据来进一步印证勒索攻击与漏洞利用的必然联系。本轮攻击始于攻击者利用 SimpleHelp RMM 客户端中的漏洞建立与目标端点的未经授 权 的 连 接 。 已 观 察 到 的 攻 击 事 件 中 ， 攻 击 者 连 接 到 爱 沙 尼 亚 IP 的 服 务 器360 数字安全——数字安全的领导者第 5 页194.76.227.171 的 80 端口上运行的 SimpleHelp 实例。通过 RMM 连接后，攻击者会快速执行一系列发现命令以了解有关目标环境的更多信息，这包括系统和网络详细信息、用户和权限、计划任务和服务以及域控制器信息。此外，安全人员还发现受害机器中存在CrowdStrike Falcon 安全套件的命令，可能是攻击者尝试利用该命令绕过机器中的权限控制。之后，攻击者利用他们的访问权限继续创建了一个名为“sqladmin”的新管理员帐户来维护对环境的访问，并安装 Sliver 利用框架（agent.exe）。在过去几年中，Sliver一直是作为 Cobalt Strike 的替代方案，该工具的使用量有所增加，而 Cobalt Strike则因越来越容易被安全软件检测到而被逐渐抛弃。部署 Sliver 后，攻击者则通过命令链接到控制服务器以打开反向 Shell 或等待命令在受感染的主机上执行。在攻击中观察到的 Sliver 信标被配置为连接到荷兰的 C2。此外，研究人员还发现受害机器中被启用了远程桌面协议（RDP）的备份功能。建立持久性链接后，攻击者通过使用相同的 SimpleHelp RMM 客户端破坏域控制器（DC）并创建另一个管理员帐户“fpmhlttech”来进一步深入整个系统的内部网络中。目前未发现攻击者安装后门，而是安装了伪装成 svchost.exe 的 Cloudflare Tunnel 以保持隐蔽访问并绕过安全控制和防火墙。CISA 和 FBI 表示 Ghost 勒索软件入侵了 70 个国家或地区的组织美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）表示，部署 Ghost勒索软件的攻击者已入侵了来自 70 多个国家多个行业领域的受害者，其中包括关键基础设施组织。其他受影响的行业包括医疗保健、政府、教育、科技、制造业，以及众多中小企业。CISA、FBI 和多州信息共享与分析中心（MS-ISAC）在周三发布的联合公告中称：“从2021 年初开始，Ghost 勒索软件的攻击者就开始攻击那些面向互联网的服务运行着过时软件和固件版本的受害者。”……“这种对存在漏洞网络的随意攻击，已导致 70 多个国360 数字安全——数字安全的领导者第 6 页家的组织受到侵害。”Ghost 勒索软件的运营者经常更换恶意软件的可执行文件，更改加密文件的扩展名，修改勒索信的内容，并使用多个电子邮件地址进行赎金交易沟通，这使得对该组织的追踪归属随着时间推移而不断变化。与该组织有关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture，其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。这个以获取经济利益为目的的勒索软件组织利用公开可得的代码，利用易受攻击的服务 器中 的安 全漏 洞。 他们 瞄准的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修复的漏洞。新的 NailaoLocker 勒索软件被用于攻击欧盟的医保组织2024 年 6 月至 10 月期间，在针对欧洲医疗保健组织的攻击中发现了一款新出现的“NailaoLocker”勒索软件。此次攻击利用了 Check Point 安全网关的一个漏洞（CVE-2024-24919）来入侵目标网络，并部署了“ShadowPad”和“PlugX”恶意软件。法国电信旗下网络安全公司 Orange 的计