勒索軟件傳播至今，360反勒索服務(wù)已累計接收到數(shù)萬勒索軟件感染求助。隨著新型勒索軟件的快速蔓延，企業(yè)數(shù)據(jù)泄露風(fēng)險不斷上升，勒索金額在數(shù)百萬到近億美元的勒索案件不斷出現(xiàn)。勒索軟件給企業(yè)和個人帶來的影響范圍越來越廣，危害性也越來越大。360全網(wǎng)安全大腦針對勒索軟件進行了全方位的監(jiān)測與防御，為需要幫助的用戶提供360反勒索服務(wù)。

2025年2月，全球新增的雙重勒索軟件家族包有Anubis和RunSomeWares，前者具備跨平臺的勒索能力并主要以數(shù)據(jù)竊取為主。老牌雙重勒索軟件Clop勒索軟件利用軟件漏洞（疑似Craft CMS CVE-2025-23209與Palo Alto Networks PAN-OS CVE-2025-0111）在2月份紀(jì)錄式地入侵了335個受害者，以北美為地區(qū)主。

以下是本月值得關(guān)注的部分熱點：

黑客利用SimpleHelp RMM漏洞部署Sliver惡意軟件

CISA和FBI表示Ghost勒索軟件入侵了70個國家或地區(qū)的組織

新的NailaoLocker勒索軟件被用于攻擊歐盟的醫(yī)保組織

基于對360反勒索服務(wù)數(shù)據(jù)的分析研判，360數(shù)字安全集團高級威脅研究分析中心(CCTGA勒索軟件防范應(yīng)對工作組成員）發(fā)布本報告。

感染數(shù)據(jù)分析

針對本月勒索軟件受害者設(shè)備所中病毒家族進行統(tǒng)計：Weaxor家族占比24.42%居首位，第二的是RNTC占比16.28%的，Makop家族以15.12%位居第三。

圖1. 2025年2月勒索軟件家族占比

對本月受害者所使用的操作系統(tǒng)進行統(tǒng)計，位居前三的是：Windows 10、Windows Server 2008以及Windows Server 2016。

圖2. 2025年2月勒索軟件入侵操作系統(tǒng)占比

2025年2月被感染的系統(tǒng)中桌面系統(tǒng)和服務(wù)器系統(tǒng)占比顯示，受攻擊的系統(tǒng)類型桌面PC與服務(wù)器平臺較為接近，NAS平臺以內(nèi)網(wǎng)SMB共享加密為主。

圖3. 2025年2月勒索軟件入侵操作系統(tǒng)類型占比

勒索軟件熱點事件

黑客利用SimpleHelp RMM漏洞部署Sliver惡意軟件

黑客以存在漏洞的SimpleHelp RMM客戶端為目標(biāo)，創(chuàng)建管理員帳戶、放置后門并可能為勒索軟件攻擊奠定基礎(chǔ)。被利用的漏洞編號為CVE-2024-57726、CVE-2024-57727和CVE-2024-57728。上周有報告稱這些漏洞可能被Arctic Wolf利用，但尚未找到確切證據(jù)。此外，網(wǎng)絡(luò)安全研究人員還觀察到的活動有Akira勒索軟件攻擊的跡象，不過目前沒有足夠的證據(jù)來進一步印證勒索攻擊與漏洞利用的必然聯(lián)系。

本輪攻擊始于攻擊者利用SimpleHelp RMM客戶端中的漏洞建立與目標(biāo)端點的未經(jīng)授權(quán)的連接。已觀察到的攻擊事件中，攻擊者連接到愛沙尼亞IP的服務(wù)器194.76.227.171的80端口上運行的SimpleHelp實例。通過RMM連接后，攻擊者會快速執(zhí)行一系列發(fā)現(xiàn)命令以了解有關(guān)目標(biāo)環(huán)境的更多信息，這包括系統(tǒng)和網(wǎng)絡(luò)詳細信息、用戶和權(quán)限、計劃任務(wù)和服務(wù)以及域控制器信息。此外，安全人員還發(fā)現(xiàn)受害機器中存在CrowdStrike Falcon安全套件的命令，可能是攻擊者嘗試?yán)迷撁罾@過機器中的權(quán)限控制。

之后，攻擊者利用他們的訪問權(quán)限繼續(xù)創(chuàng)建了一個名為“sqladmin”的新管理員帳戶來維護對環(huán)境的訪問，并安裝Sliver利用框架（agent.exe）。在過去幾年中，Sliver一直是作為Cobalt Strike的替代方案，該工具的使用量有所增加，而Cobalt Strike則因越來越容易被安全軟件檢測到而被逐漸拋棄。部署Sliver后，攻擊者則通過命令鏈接到控制服務(wù)器以打開反向Shell或等待命令在受感染的主機上執(zhí)行。

在攻擊中觀察到的Sliver信標(biāo)被配置為連接到荷蘭的C2。此外，研究人員還發(fā)現(xiàn)受害機器中被啟用了遠程桌面協(xié)議（RDP）的備份功能。建立持久性鏈接后，攻擊者通過使用相同的SimpleHelp RMM客戶端破壞域控制器（DC）并創(chuàng)建另一個管理員帳戶“fpmhlttech”來進一步深入整個系統(tǒng)的內(nèi)部網(wǎng)絡(luò)中。目前未發(fā)現(xiàn)攻擊者安裝后門，而是安裝了偽裝成svchost.exe的Cloudflare Tunnel以保持隱蔽訪問并繞過安全控制和防火墻。

CISA和FBI表示Ghost勒索軟件入侵了70個國家或地區(qū)的組織

美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）和聯(lián)邦調(diào)查局（FBI）表示，部署Ghost勒索軟件的攻擊者已入侵了來自70多個國家多個行業(yè)領(lǐng)域的受害者，其中包括關(guān)鍵基礎(chǔ)設(shè)施組織。其他受影響的行業(yè)包括醫(yī)療保健、政府、教育、科技、制造業(yè)，以及眾多中小企業(yè)。

CISA、FBI和多州信息共享與分析中心（MS-ISAC）在周三發(fā)布的聯(lián)合公告中稱：“從2021年初開始，Ghost勒索軟件的攻擊者就開始攻擊那些面向互聯(lián)網(wǎng)的服務(wù)運行著過時軟件和固件版本的受害者。”……“這種對存在漏洞網(wǎng)絡(luò)的隨意攻擊，已導(dǎo)致70多個國家的組織受到侵害。”

Ghost勒索軟件的運營者經(jīng)常更換惡意軟件的可執(zhí)行文件，更改加密文件的擴展名，修改勒索信的內(nèi)容，并使用多個電子郵件地址進行贖金交易溝通，這使得對該組織的追蹤歸屬隨著時間推移而不斷變化。與該組織有關(guān)的名稱包括Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada和Rapture，其攻擊中使用的勒索軟件樣本包括Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe。

這個以獲取經(jīng)濟利益為目的的勒索軟件組織利用公開可得的代碼，利用易受攻擊的服務(wù)器中的安全漏洞。他們瞄準(zhǔn)的是Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修復(fù)的漏洞。

新的NailaoLocker勒索軟件被用于攻擊歐盟的醫(yī)保組織

2024年6月至10月期間，在針對歐洲醫(yī)療保健組織的攻擊中發(fā)現(xiàn)了一款新出現(xiàn)的“NailaoLocker”勒索軟件。此次攻擊利用了Check Point安全網(wǎng)關(guān)的一個漏洞（CVE-2024-24919）來入侵目標(biāo)網(wǎng)絡(luò)，并部署了“ShadowPad”和“PlugX”惡意軟件。

法國電信旗下網(wǎng)絡(luò)安全公司Orange的計算機應(yīng)急響應(yīng)小組認(rèn)為“NailaoLocker”是一種相當(dāng)基礎(chǔ)的勒索軟件，原因在于它不會終止安全進程或正在運行的服務(wù)，缺乏反調(diào)試和逃避沙盒檢測的機制，也不會掃描網(wǎng)絡(luò)共享。

該惡意軟件通過動態(tài)鏈接庫加載（sensapi.dll）的方式部署到目標(biāo)系統(tǒng)上，并利用了一個合法且經(jīng)過簽名的可執(zhí)行文件（usysdiag.exe）進行掩護。惡意軟件加載器（NailaoLoader）通過進行內(nèi)存地址檢查來驗證環(huán)境，然后解密主有效負載（usysdiag.exe.dat）并將其加載到內(nèi)存中。接著，NailaoLocker使用AES-256-CTR加密方案對文件進行加密，在加密后的文件后面添加“.locked”擴展名。加密完成后，勒索軟件會留下一個HTML格式的勒索通知，文件名異常長，為：

unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please_view_this_file_unlock_please.html

Orange進一步調(diào)查后表示該勒索軟件可能與Kodex Softwares（前身為Evil Extractor）的網(wǎng)絡(luò)犯罪組織出售的勒索軟件有相似之處，但并沒有直接證據(jù)。

黑客信息披露

以下是本月收集到的黑客郵箱信息：

表1. 黑客郵箱

當(dāng)前，通過雙重勒索或多重勒索模式獲利的勒索軟件家族越來越多，勒索軟件所帶來的數(shù)據(jù)泄露的風(fēng)險也越來越大。以下是本月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比，該數(shù)據(jù)僅為未能第一時間繳納贖金或拒繳納贖金部分（已經(jīng)支付贖金的企業(yè)或個人，可能不會出現(xiàn)在這個清單中）。

圖4. 2025年2月通過數(shù)據(jù)泄露獲利的勒索軟件家族占比

以下是本月被雙重勒索軟件家族攻擊的企業(yè)或個人。若未發(fā)現(xiàn)被數(shù)據(jù)存在泄露風(fēng)險的企業(yè)或個人也請第一時間自查，做好數(shù)據(jù)已被泄露準(zhǔn)備，采取補救措施。

本月總共有962個組織/企業(yè)遭遇勒索攻擊，其中包含中國11個組織/企業(yè)在本月遭遇了雙重勒索/多重勒索。其中有11個組織/企業(yè)未被標(biāo)明，因此不在以下表格中。

表2. 受害組織/企業(yè)

系統(tǒng)安全防護數(shù)據(jù)分析

360系統(tǒng)安全產(chǎn)品，目前已加入黑客入侵防護功能。在本月被攻擊的系統(tǒng)版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。

圖5 2025年2月受攻擊系統(tǒng)占比

對2025年2月被攻擊系統(tǒng)所屬地域統(tǒng)計發(fā)現(xiàn)，與之前幾個月采集到的數(shù)據(jù)進行對比，地區(qū)排名和占比變化均不大。數(shù)字經(jīng)濟發(fā)達地區(qū)仍是攻擊的主要對象。

圖6. 2025年2月國內(nèi)受攻擊地區(qū)占比排名

通過觀察2025年2月弱口令攻擊態(tài)勢發(fā)現(xiàn)，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。

圖7. 2025年2月監(jiān)控到的RDP入侵量

圖8. 2025年2月監(jiān)控到的MS SQL入侵量

圖9. 2025年2月監(jiān)控到的MYSQL入侵量

勒索軟件關(guān)鍵詞

以下是本月上榜活躍勒索軟件關(guān)鍵詞統(tǒng)計，數(shù)據(jù)來自360勒索軟件搜索引擎。

2? wxr：屬于Weaxor勒索軟件家族，該家族之前的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，以及類軟件漏洞利用方式進行投毒。

2? wstop： RNTC勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒，同時通過smb共享方式加密其他設(shè)備。

2? bixi：屬于BeijngCrypt勒索軟件家族，由于被加密文件后綴會被修改為beijing而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令與數(shù)據(jù)庫弱口令成功后手動投毒。

2? mkp: 屬于Makop勒索軟件家族，由于被加密文件后綴會被修改為mkp而成為關(guān)鍵詞。該家族主要的傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

2? baxia：同bixi。

2? wex：同wxr。

2? resback：同mkp。

2? sstop：同wstop。m

2? helper：屬于TargetOwner勒索軟件家族，該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。

2? 888：屬于Nemesis2024家族，以勒索信中的Nemesis家族字段命名。該家族的主要傳播方式為：通過暴力破解遠程桌面口令成功后手動投毒。devicdata：同hmallox。

圖10 2025年2月反病毒搜索引擎關(guān)鍵詞搜索排名

解密大師

從解密大師本月解密數(shù)據(jù)看，解密量最大的是Stop其次是Crysis。使用解密大師解密文件的用戶數(shù)量最高的是被Crysis家族加密的設(shè)備。

圖11. 2025年2月解密大師解密文件數(shù)及設(shè)備數(shù)排名