1、 2025 勒索软件攻击态势报告-新华三主动安全系列报告-目 录 CONTENTS 1 1 年度洞察 1 2 2 勒索攻击态势 2 2.1 全年勒索攻击频次分析 2 2.2 受害者地域分布 3 2.3 受害者行业分布 3 3 3 勒索组织分析 5 3.1 年度勒索组织盘点 5 3.2 技术与攻击手法 7 3.3 运营和商业模式 10 4 4 勒索攻击发展趋势 15 4.1 AI 全面赋能勒索攻击 15 4.2 漏洞武器化速度加快 15 4.3 勒索生态碎片化加剧 16 4.4 勒索攻击工业化演进 16 附录 1：年度勒索大事件 18 附录 2：新兴活跃勒索组织一览 20 Benzona 20

2、BERT 20 DATACARRY 21 Devman 22 Gunra 23 InterLock 24 新华三聆风实验室 26 主动安全 1 1 1 年度洞察 在网络威胁持续演变的背景下，2025 年勒索软件攻击态势加速演进。攻击活动整体保持高位运行，但攻防双方的博弈格局与犯罪生态的内在逻辑正发生结构性转变。一方面，攻击数量持续攀升，勒索组织的技术手段与商业模式不断迭代；另一方面，防御体系的完善与执法行动的深化正重塑受害者的应对策略，迫使攻击者调整其获利逻辑。新华三聆风实验室通过对全球勒索攻击活动的长期跟踪与深度剖析，总结 2025年勒索攻击的主要特点如下：1、2025 年全球勒索攻击活动呈

3、上升趋势，较 2024 年上升 24%。从时间分布来看，攻击活动在 2 月、3月、11 月出现三次显著的爆发高峰。全年共监测到 123 个活跃勒索软件组织，排名前十的（TOP10）组织活跃度合计占比 57.5%，总体呈现出头部高度集中与长尾广泛分布并存的态势；2、受害地域上，北美、欧洲、亚洲位列前三，其中美国受害者数量约占全球总量的一半，持续居于首位；受害行业层面，2025 年排名前三（TOP3）受害行业依次为制造业（18.7%）、专业法律服务（15.6%）及批发零售业（9.63%）；3、入侵手段上，凭证窃取已成为勒索攻击最主要的初始入口，其中 VPN 凭证、域账户和 RDP 凭证，是攻击者获

4、取内网访问权限的关键突破口；防御规避层面，攻击者借助系统自带的工具及常用工具实施离地攻击（LoTL），使恶意行为混迹于正常运维流量中；加密技术层面，主流勒索软件的加密方案，正朝着进一步平衡加密效率与安全强度的方向优化升级；4、运营模式上，头部勒索团伙正向卡特尔联盟转型，形成资源、技术与市场深度捆绑的垄断格局；施压手段上，勒索软件攻击引入监管合规胁迫模式，将单纯的数据泄露事件升级为合规丑闻；从商业模式上，勒索即服务（EaaS）模式逐步兴起，大幅降低了攻击门槛，推动勒索攻击走向“产业化”。主动安全 2 2 2 勒索攻击态势 2025 年勒索攻击态势在攻击频次上呈现显著变化，全年攻击数量较 2024

5、 年继续攀升，并在特定月份出现多次大规模爆发。行业分布与地域格局整体延续 2024 年特征：制造业、专业法律服务等仍为主要受害行业，北美洲、欧洲和亚洲仍是攻击最集中地区。本章将从全年攻击频次波动、受害行业分布、受害地域格局三个维度，梳理 2025 年勒索攻击的具体态势。2.1全年勒索攻击频次分析 图 2-1 各月攻击数量及月度最活跃组织 根据图 2-1 统计，2025 年勒索攻击活动呈现明显的高峰期。2 月、3 月和 10 月出现了三次显著的大规模爆发，其中 3 月的攻击次数高达 890 次，为全年峰值。除这三个集中增长月份外，全年勒索攻击事件总体呈现波动上升态势。从活跃团伙来看，CL0P 在

6、 5 月之前两次登上月度最活跃家族榜首，显示其在年初的活跃程度；而从 5 月开始，Qilin 组织持续霸榜，成为下半年勒索攻击的主导力量。LEAKEDDATACL0pCL0PAkiraSafepayQilin QilinQilinQilinQilinQilinQilin020040060080010001月2月3月4月5月6月7月8月9月10月11月12月月度最活跃家族月勒索攻击次数 主动安全 3 2.2 受害者地域分布 图 2-2 2025 勒索攻击全球地域分布 从图 2-2 可以看出，北美洲，欧洲，亚洲三个地区仍然是受到攻击最严重的三个洲。其中美国（53%）居于全球首位，加拿大（5.4%）