勒索軟件傳播至今，360反勒索服務(wù)已累計(jì)接收到數(shù)萬(wàn)勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)不斷上升，勒索金額在數(shù)百萬(wàn)到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個(gè)人帶來(lái)的影響范圍越來(lái)越廣，危害性也越來(lái)越大。360全網(wǎng)安全大腦針對(duì)勒索軟件進(jìn)行了全方位的監(jiān)測(cè)與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年2月，全球新增的雙重勒索軟件家族包有Anubis和RunSomeWares，前者具備跨平臺(tái)的勒索能力并主要以數(shù)據(jù)竊取為主。老牌雙重勒索軟件Clop勒索軟件利用軟件漏洞（疑似Craft CMS CVE-2025-23209與Palo Alto Networks PAN-OS CVE-2025-0111）在2月份紀(jì)錄式地入侵了335個(gè)受害者，以北美為地區(qū)主。

以下是本月值得關(guān)注的部分熱點(diǎn)：

黑客利用SimpleHelp RMM漏洞部署Sliver惡意軟件

CISA和FBI表示Ghost勒索軟件入侵了70個(gè)國(guó)家或地區(qū)的組織

新的NailaoLocker勒索軟件被用于攻擊歐盟的醫(yī)保組織

基于對(duì)360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團(tuán)高級(jí)威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對(duì)工作組成員）發(fā)布本報(bào)告。

感染數(shù)據(jù)分析

針對(duì)本月勒索軟件受害者設(shè)備所中病毒家族進(jìn)行統(tǒng)計(jì)：Weaxor家族占比24.42%居首位，第二的是RNTC占比16.28%的，Makop家族以15.12%位居第三。

圖1. 2025年2月勒索軟件家族占比

對(duì)本月受害者所使用的操作系統(tǒng)進(jìn)行統(tǒng)計(jì)，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2016。

圖2. 2025年2月勒索軟件入侵操作系統(tǒng)占比

2025年2月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC與服務(wù)器平臺(tái)較為接近，NAS平臺(tái)以內(nèi)網(wǎng)SMB共享加密為主。

圖3. 2025年2月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點(diǎn)事件

黑客利用SimpleHelp RMM漏洞部署Sliver惡意軟件

黑客以存在漏洞的SimpleHelp RMM客戶端為目標(biāo)，創(chuàng)建管理員帳戶、放置后門并可能為勒索軟件攻擊奠定基礎(chǔ)。被利用的漏洞編號(hào)為CVE-2024-57726、CVE-2024-57727和CVE-2024-57728。上周有報(bào)告稱這些漏洞可能被Arctic Wolf利用，但尚未找到確切證據(jù)。此外，網(wǎng)絡(luò)安全研究人員還觀察到的活動(dòng)有Akira勒索軟件攻擊的跡象，不過(guò)目前沒(méi)有足夠的證據(jù)來(lái)進(jìn)一步印證勒索攻擊與漏洞利用的必然聯(lián)系。

本輪攻擊始于攻擊者利用SimpleHelp RMM客戶端中的漏洞建立與目標(biāo)端點(diǎn)的未經(jīng)授權(quán)的連接。已觀察到的攻擊事件中，攻擊者連接到愛(ài)沙尼亞IP的服務(wù)器194.76.227.171的80端口上運(yùn)行的SimpleHelp實(shí)例。通過(guò)RMM連接后，攻擊者會(huì)快速執(zhí)行一系列發(fā)現(xiàn)命令以了解有關(guān)目標(biāo)環(huán)境的更多信息，這包括系統(tǒng)和網(wǎng)絡(luò)詳細(xì)信息、用戶和權(quán)限、計(jì)劃任務(wù)和服務(wù)以及域控制器信息。此外，安全人員還發(fā)現(xiàn)受害機(jī)器中存在CrowdStrike Falcon安全套件的命令，可能是攻擊者嘗試?yán)迷撁罾@過(guò)機(jī)器中的權(quán)限控制。

之后，攻擊者利用他們的訪問(wèn)權(quán)限繼續(xù)創(chuàng)建了一個(gè)名為“sqladmin”的新管理員帳戶來(lái)維護(hù)對(duì)環(huán)境的訪問(wèn)，并安裝Sliver利用框架（agent.exe）。在過(guò)去幾年中，Sliver一直是作為Cobalt Strike的替代方案，該工具的使用量有所增加，而Cobalt Strike則因越來(lái)越容易被安全軟件檢測(cè)到而被逐漸拋棄。部署Sliver后，攻擊者則通過(guò)命令鏈接到控制服務(wù)器以打開(kāi)反向Shell或等待命令在受感染的主機(jī)上執(zhí)行。

在攻擊中觀察到的Sliver信標(biāo)被配置為連接到荷蘭的C2。此外，研究人員還發(fā)現(xiàn)受害機(jī)器中被啟用了遠(yuǎn)程桌面協(xié)議（RDP）的備份功能。建立持久性鏈接后，攻擊者通過(guò)使用相同的SimpleHelp RMM客戶端破壞域控制器（DC）并創(chuàng)建另一個(gè)管理員帳戶“fpmhlttech”來(lái)進(jìn)一步深入整個(gè)系統(tǒng)的內(nèi)部網(wǎng)絡(luò)中。目前未發(fā)現(xiàn)攻擊者安裝后門，而是安裝了偽裝成svchost.exe的Cloudflare Tunnel以保持隱蔽訪問(wèn)并繞過(guò)安全控制和防火墻。

CISA和FBI表示Ghost勒索軟件入侵了70個(gè)國(guó)家或地區(qū)的組織

美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）和聯(lián)邦調(diào)查局（FBI）表示，部署Ghost勒索軟件的攻擊者已入侵了來(lái)自70多個(gè)國(guó)家多個(gè)行業(yè)領(lǐng)域的受害者，其中包括關(guān)鍵基礎(chǔ)設(shè)施組織。其他受影響的行業(yè)包括醫(yī)療保健、政府、教育、科技、制造業(yè)，以及眾多中小企業(yè)。

CISA、FBI和多州信息共享與分析中心（MS-ISAC）在周三發(fā)布的聯(lián)合公告中稱：“從2021年初開(kāi)始，Ghost勒索軟件的攻擊者就開(kāi)始攻擊那些面向互聯(lián)網(wǎng)的服務(wù)運(yùn)行著過(guò)時(shí)軟件和固件版本的受害者。”……“這種對(duì)存在漏洞網(wǎng)絡(luò)的隨意攻擊，已導(dǎo)致70多個(gè)國(guó)家的組織受到侵害。”

Ghost勒索軟件的運(yùn)營(yíng)者經(jīng)常更換惡意軟件的可執(zhí)行文件，更改加密文件的擴(kuò)展名，修改勒索信的內(nèi)容，并使用多個(gè)電子郵件地址進(jìn)行贖金交易溝通，這使得對(duì)該組織的追蹤歸屬隨著時(shí)間推移而不斷變化。與該組織有關(guān)的名稱包括Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada和Rapture，其攻擊中使用的勒索軟件樣本包括Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe。

這個(gè)以獲取經(jīng)濟(jì)利益為目的的勒索軟件組織利用公開(kāi)可得的代碼，利用易受攻擊的服務(wù)器中的安全漏洞。他們瞄準(zhǔn)的是Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修復(fù)的漏洞。

新的NailaoLocker勒索軟件被用于攻擊歐盟的醫(yī)保組織

2024年6月至10月期間，在針對(duì)歐洲醫(yī)療保健組織的攻擊中發(fā)現(xiàn)了一款新出現(xiàn)的“NailaoLocker”勒索軟件。此次攻擊利用了Check Point安全網(wǎng)關(guān)的一個(gè)漏洞（CVE-2024-24919）來(lái)入侵目標(biāo)網(wǎng)絡(luò)，并部署了“ShadowPad”和“PlugX”惡意軟件。

法國(guó)電信旗下網(wǎng)絡(luò)安全公司Orange的計(jì)算機(jī)應(yīng)急響應(yīng)小組認(rèn)為“NailaoLocker”是一種相當(dāng)基礎(chǔ)的勒索軟件，原因在于它不會(huì)終止安全進(jìn)程或正在運(yùn)行的服務(wù)，缺乏反調(diào)試和逃避沙盒檢測(cè)的機(jī)制，也不會(huì)掃描網(wǎng)絡(luò)共享。

該惡意軟件通過(guò)動(dòng)態(tài)鏈接庫(kù)加載（sensapi.dll）的方式部署到目標(biāo)系統(tǒng)上，并利用了一個(gè)合法且經(jīng)過(guò)簽名的可執(zhí)行文件（usysdiag.exe）進(jìn)行掩護(hù)。惡意軟件加載器（NailaoLoader）通過(guò)進(jìn)行內(nèi)存地址檢查來(lái)驗(yàn)證環(huán)境，然后解密主有效負(fù)載（usysdiag.exe.dat）并將其加載到內(nèi)存中。接著，NailaoLocker使用AES-256-CTR加密方案對(duì)文件進(jìn)行加密，在加密后的文件后面添加“.locked”擴(kuò)展名。加密完成后，勒索軟件會(huì)留下一個(gè)HTML格式的勒索通知，文件名異常長(zhǎng)，為：

unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html

Orange進(jìn)一步調(diào)查后表示該勒索軟件可能與Kodex Softwares（前身為Evil Extractor）的網(wǎng)絡(luò)犯罪組織出售的勒索軟件有相似之處，但并沒(méi)有直接證據(jù)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過(guò)雙重勒索或多重勒索模式獲利的勒索軟件家族越來(lái)越多，勒索軟件所帶來(lái)的數(shù)據(jù)泄露的風(fēng)險(xiǎn)也越來(lái)越大。以下是本月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時(shí)間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個(gè)人，可能不會(huì)出現(xiàn)在這個(gè)清單中）。

圖4. 2025年2月通過(guò)數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個(gè)人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險(xiǎn)的企業(yè)或個(gè)人也請(qǐng)第一時(shí)間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補(bǔ)救措施。

本月總共有962個(gè)組織/企業(yè)遭遇勒索攻擊，其中包含中國(guó)11個(gè)組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有11個(gè)組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護(hù)數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護(hù)功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年2月受攻擊系統(tǒng)占比

對(duì)2025年2月被攻擊系統(tǒng)所屬地域統(tǒng)計(jì)發(fā)現(xiàn)，與之前幾個(gè)月采集到的數(shù)據(jù)進(jìn)行對(duì)比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)仍是攻擊的主要對(duì)象。

圖6. 2025年2月國(guó)內(nèi)受攻擊地區(qū)占比排名

通過(guò)觀察2025年2月弱口令攻擊態(tài)勢(shì)發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無(wú)較大波動(dòng)。

圖7. 2025年2月監(jiān)控到的RDP入侵量

圖8. 2025年2月監(jiān)控到的MS SQL入侵量

圖9. 2025年2月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計(jì)，數(shù)據(jù)來(lái)自360勒索軟件搜索引擎。

2? wxr：屬于Weaxor勒索軟件家族，該家族之前的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，以及類軟件漏洞利用方式進(jìn)行投毒。

2? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒，同時(shí)通過(guò)smb共享方式加密其他設(shè)備。

2? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會(huì)被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令與數(shù)據(jù)庫(kù)弱口令成功后手動(dòng)投毒。

2? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會(huì)被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

2? baxia：同bixi。

2? wex：同wxr。

2? resback：同mkp。

2? sstop：同wstop。m

2? helper：屬于TargetOwner勒索軟件家族，該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。

2? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過(guò)暴力破解遠(yuǎn)程桌面口令成功后手動(dòng)投毒。devicdata：同hmallox。

圖10 2025年2月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Stop其次是Crysis。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年2月解密大師解密文件數(shù)及設(shè)備數(shù)排名