2025 勒索软件:一切如常,业务蓬勃发展
要想在对抗对手的过程中占据优势,就需要了解他们的行为和心态。为了提供今年迄今为止的情况,Rapid7 Labs 研究了 2025 年第一季度的内部和公开勒索软件数据。我们添加了自己的见解,并就组织可以采取哪些措施来减少勒索软件的攻击面提供了建议。
数据突显,企业在主动应对勒索软件方面不能松懈。无论是老牌威胁行为者还是新晋威胁行为者,都采取了“只要没坏就别修”的策略,摒弃不可预测性,转而采用成熟的创收技术。而且,几乎所有情况下,他们玩的都是数据泄露,并通过泄密网站的帖子进行勒索。
勒索软件领域的重量级人物既有新面孔,也有老面孔,他们大多倾向于联盟模式,或宣布与知名组织合作,以提高知名度。第一季度共有 80 个活跃组织,其中 16 个是自 1 月 1 日以来新成立的。此外,还有 13 个组织在 2024 年第四季度活跃,但在 2025 年迄今为止一直保持沉默。
自 2025 年初以来活跃的新勒索软件组织包括(但不限于):Ailock、Belsen Group、CrazyHunter、Cs-137、D0Glun、GD LockerSec、Linkc、NightSpire、Ox Thief、Run Some Wares、SECP0、Sonshi 和 VanHelsing。
2025 年第一季度,根据其专用泄密网站上的帖子数量排名,最活跃的勒索软件组织是 Cl0p 和 RansomHub,两者遥遥领先。除了这两个组织之外,还有其他几个勒索软件组织正在扰乱不同规模和行业的企业,值得关注。这些组织包括 Anubis、Lynx 和 Qilin。
第一季度的热门目标:
制造业、商业服务业、医疗保健业和建筑业是受到各种老牌和新兴威胁行为者攻击的主要行业。在我们审查的618个包含受害者行业信息的泄密网站帖子中,22%来自制造业。商业服务业以11%的比例位居第二,医疗保健服务和建筑业则以10%的比例紧随其后。
主要目标地区包括美国、加拿大、英国、德国和澳大利亚等传统热门国家,以及台湾、新加坡和日本等地区。此外,哥伦比亚和泰国的受害者数量也有所增加。
一些值得注意的趋势包括:
赎金再投资
今年2月发生的Black Basta聊天记录泄露事件,不仅让我们深入了解了该组织的内斗,也让我们得以窥见其内部运作。尽管该组织的活动已完全停止(最后一次在泄露网站上发布信息是在2025年1月11日),但我们还是不得不提及一个我们怀疑正在发生的重大趋势,而我们只能通过这些聊天记录来验证这一趋势:勒索软件组织正在将购买零日漏洞所获得的赎金重新投入使用。
在 Black Basta 的聊天记录中,我们观察到,2023 年 11 月 23 日,该组织收到一个针对 Ivanti Connect Secure 的零日漏洞,并要求其购买。该漏洞的要价为 20 万美元,卖家将其描述为一个未经身份验证的 RCE 漏洞,利用了一个未知的内存损坏漏洞。
除了 Ivanti 的讨论之外,我们还观察到 Black Basta 确实购买了 Juniper 防火墙漏洞。此前,我们比较了公开的、经过身份验证的远程代码执行 (RCE) 漏洞(该漏洞仅允许用户模式访问)和购买的、提供完全 root 访问权限的漏洞。
重新包装的产品
一些勒索软件组织只是简单地将经典案例搬上舞台,以此来为自己招摇撞骗。最近,一个据称死灰复燃的Babuk勒索软件组织却并非表面看起来的那样,他们从RansomHub、FunkSec和LockBit窃取了旧数据,并将其据为己有。Rapid7的分析强调了这些组织以新身份重组或合作的挑战,例如“Babuk 2.0”其实就是用了不同名称的LockBit 3.0/LockBit Black。
此外,FunkSec 也毫不避讳地将旧的泄露数据重新利用。而 LockBit 则被发现在全球范围内逮捕了疑似 LockBit 开发者及其关联公司后,同时发布了旧数据和虚假攻击。三方执法行动明显削弱了 LockBit 的实力,其残存的势力转而使用虚假攻击,试图让一切看起来一切如常。
重组集团
当勒索软件团体沉寂下来时,其他组织就会取而代之。这种动态的一部分在于一个不断循环的联盟网络,它让防御者和网络安全分析师时刻保持警惕。撇开品牌重塑不谈,Rapid7 观察到 Akira 勒索软件团体内部似乎正在发生“换岗”现象。
策略
勒索软件团伙往往遵循特定的模式:初始访问、侦察、凭证窃取和横向移动、数据泄露,最终进行加密。然而,也存在一些分歧。一些团伙避免部署勒索软件和文件加密,而是选择通过不安全的VPN和远程桌面协议(RDP)入侵网络。之后,他们直接进行数据泄露。这被称为“勒索软件”。
其他威胁行为者,尤其是 LockBit,使用“离地攻击”(LOTL)策略,利用已部署的合法工具和管理软件入侵网络。由于未部署任何恶意软件文件,因此越来越难以检测到此类攻击,威胁行为者甚至可能潜伏数周甚至数月而不被发现。
RaaS 已成为知名勒索软件团伙的一项关键策略。联盟成员可以轻松加入所选的勒索软件团伙并立即发起攻击,这确保了处于“食物链”顶端的犯罪分子能够获得稳定的利润。
双重勒索也是常见的做法。FunkSec 已成功进入这一领域,其赎金低至 1 万美元,或许是为了比通常高达 60 万美元甚至上百万美元的赎金要求更具吸引力。
支付赎金或与威胁行为者进行初步联系的截止日期在各个组织之间差异很大。RansomHub 此前曾设定过 72 小时到 90 天不等的赎金期限。Cl0p 则会施加不同程度的压力,促使目标联系攻击者。2024 年 12 月,该组织要求不愿联系的受害者在 48 小时内联系攻击者,否则其组织名称将面临被公开的风险。其他 Cl0p 的说明(例如下文)也沿用了 48 小时的策略,但并未提及公开披露。无论使用何种策略,即使受害者支付赎金,也无法保证文件不会被解密,也无法保证泄密网站上的被盗文档会被删除。这些所谓的截止日期营造了一种紧迫感,但可能只会给受害者带来虚假的希望。
您现在可以做的五件事
不幸的是,勒索软件的商业现实是无法逃避的;这是一个普遍存在的问题,迟早会在某种程度上影响到每家企业。一个完善的防御计划可以帮助降低风险,防止灾难性的后果。
企业现在可以采取五项措施,这些措施将立即有效减少攻击面。这包括重新审视多因素身份验证 (MFA)、正确部署和配置 MFA、持续进行补丁管理(尤其是针对边缘设备)、进行勒索软件攻击模拟以及调查攻击面。
勒索软件团体在2025年到来之际,明确表态:一切照旧,生意兴隆。大量的泄密帖子和双重勒索的倾向表明,随着时间的流逝,我们预计类似的情况还会继续发生。此外,首次出现的关于受害者所谓失职的报道式评论,也预示着企业成为勒索软件关注焦点的道路将充满坎坷。
渴望曝光和建立联盟网络的新兴组织可能会效仿Anubis的做法,做一些他们自己的报道式新闻。花招可以吸引眼球,从而获得曝光,而数据泄露造成的声誉损害很可能与监管方面的尴尬和负面宣传并存。更糟糕的是,勒索软件组织通过曝光的聊天记录暴露出他们正在试图购买零日漏洞。
企业需要竭尽所能,最大限度地降低网络被轻易入侵和数据泄露的风险。不幸的是,受害者仍在 为糟糕的多因素身份验证 (MFA) 覆盖和补丁管理不足付出代价 。如果说勒索软件正在经历一个崭新的世界,那么它很大程度上与旧世界类似,只是在运转良好的机器上做了一些精简的调整。