勒索软件流行态势分析 2025年9月 三六零数字安全科技集团|高级威胁研究分析中心360数字安全——数字安全的领导者 第1页勒索软件传播至今，360反勒索服务已累计接收到数万次勒索软件感染求助。随着 新型勒索软件的快速蔓延，企业数据泄漏风险不断上升，勒索金额在数百万到近亿美元 的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来 越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户 提供360反勒索服务。 2025年9月，全球新增的双重勒索软件有TheGentlemen、CoinbaseCartel、 ShinyHunters等多个家族，传统勒索软件家族新增SnowSoul、HybridPetya、Monrans 等多个家族。其中，SnowSoul在中国境内有传播痕迹，HybridPetya绕过UEFI启动。 本月Weaxor勒索家族在注入系统进程后轮询加载的漏洞驱动列表中，新增 CVE-2025-52915漏洞驱动、安在远控漏洞驱动。该勒索家族持续跟踪开源情报中的漏洞 驱动信息，并迅速将尚未被大多数安全厂商识别或拦截的漏洞驱动用于攻击，以致盲并 规避安全防护。我们的产品在第一时间检测并成功拦截了这些用于致盲安全防护的恶意 行为。 以下是本月值得关注的部分热点： 新型HybridPetya勒索软件可以绕过UEFI安全启动 捷豹路虎在网络攻击后将关闭时间延长一周 巴拿马经济部披露INC勒索软件的攻击事件 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心 （CCTGA勒索软件防范应对工作组成员）发布本报告。360数字安全——数字安全的领导者 第2页感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比46.24%居 首位，第二的是Wmansvcs占比10.22%，LockBit家族以9.68%占比位居第三。 图1.2025年9月勒索软件家族占比 对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、Windows Server2008以及WindowsServer2012。 图2.2025年9月勒索软件入侵操作系统占比360数字安全——数字安全的领导者 第3页2025年9月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌 面PC小幅领先服务器。 图3.2025年9月勒索软件入侵操作系统类型占比360数字安全——数字安全的领导者 第4页勒索软件热点事件 新型HybridPetya勒索软件可以绕过UEFI安全启动 最近发现的名为HybridPetya的勒索软件，可以绕过UEFI安全引导功能，在EFI 系统分区上安装恶意应用程序。该款HybridPetya似乎受到早期知名勒索软件Petya及 NotPetya的启发，这两款勒索软件在2016年至2017年间颇为活跃，其会加密计算机并 阻止Windows在攻击中启动，但并不提供恢复选项。 安全研究人员表示，目前发现的HybridPetya可能是一个仍在有限范围内测试的早 期版本。尽管如此，其具有SecureBypass功能的UEFIbootkit模块仍是一个实实在 在的威胁。 HybridPetya融合了Petya和NotPetya的特征，包括这些旧恶意软件的视觉风格和 攻击链特征。但在其感染的EFI系统分区中添加了新的东西，例如，利用CVE-2024-7344 漏洞绕过安全启动。HybridPetya会在启动后确定主机是否使用带有GPT分区的UEFI， 并将恶意引导套件放入由多个文件组成的EFI系统分区中，其中包括配置和验证文件、 修改的引导加载程序、后备UEFI引导加载程序、漏洞利用有效载荷容器以及跟踪加密 进度的状态文件。 目前已发现的HybridPetya变种中使用的文件有： \EFI\Microsoft\Boot\config（加密标志+键+nonce+受害者ID） \EFI\Microsoft\Boot\verify（用于验证正确的解密密钥） \EFI\Microsoft\Boot\counter（用于加密群集的进度跟踪器） \EFI\Microsoft\Boot\bootmgfw.efi.old（原始引导加载程序的备份） \EFI\Microsoft\Boot\cloak.dat（包含安全引导旁路变种中的XORedbootkit） 此外，恶意软件将\EFI\Microsoft\Boot\bootmgfw.efi替换为易受攻击的360数字安全——数字安全的领导者 第5页“reloader.efi”，并删除了\EFI\Boot\boot\bootx64.efi文件。原始的Windows引导 加载程序也被保存下来，在成功恢复的情况下被用于激活，这意味着受害者支付赎金后 勒索软件提供了相应的恢复机制。一旦加密完成，系统将被引导进行重新启动，并在系 统启动期间向受害者索要赎金——勒索金额为价值1000美元的比特币。 虽然目前并未发现HybridPetya的任何实际在野攻击案例，但类似的项目可能会选 择将PoC武器化，并随时将其用于对未修补的Windows系统的攻击。 捷豹路虎在网络攻击后将关闭时间延长一周 捷豹路虎（JLR）在9月16日宣布，在8月底发生毁灭性的网络攻击影响其系统之 后，停产时间将再延长一周。该汽车制造商自9月2日披露遭到网络攻击以来，一直在 努力恢复运营，并称其生产受到严重干扰。9月初，捷豹路虎还证实攻击者在攻击期间 窃取了“一些数据”并指示工作人员不要报告工作。而在9月16日早些时候，这家汽 车巨头宣布仍在努力重启运营，要到下周才会恢复生产。 捷豹路虎方面目前尚未回复媒体关于该事件及其对客户潜在影响的置评请求。虽然 该制造商证实攻击者从其网络中窃取了信息，但尚未将攻击行为归因于某个特定的网络 犯罪集团。然而，一个名为“ScatteredLapsus$Hunters”的网络犯罪组织已宣称对 网络攻击负责，该网络犯罪组织在Telegram频道上发布了JLR内部的SAP系统截屏， 并表示他们还在该公司的受损系统上部署了勒索软件。 该网络犯罪组织称，其是由ScatteredSpider、Lapsus$以及ShinyHunters勒索团 伙相关的网络犯罪分子组成，并对最近的Salesforce数据盗窃攻击负责。在这些攻击 中，他们使用社会工程学攻击方式入侵了SalesloftDriftOAuth令牌，以窃取众多知 名公司的数据，包括Google、Cloudflare、PaloAltoNetworks、Tenable及Proofpoint 等。360数字安全——数字安全的领导者 第6页巴拿马经济部披露INC勒索软件的攻击事件 巴拿马经济和财政部（MEF）透露，其内部一些计算机可能在网络攻击中受到损害。 政府指出，他们已启动了应对的安全排查程序，并指出该事件已被控制并且没有影响到 对其运营至关重要的核心系统。 MEF表示，个人和机构数据均是安全的，所有相关的预案措施都已到位，以防止未 来发生事故。 然而，INC勒索软件团伙上周在其数据泄露网站上的一篇文章中声称，对MEF进行 了攻击。黑客称他们从MEF的系统中窃取了超过1.5TB的数据，包括电子邮件、财务文 件、预算细节等。该组织于9月5日将MEF添加到其暗网上的受害者名单中，并以内部 文件形式泄露数据样本，作为其入侵行为的证据。 有媒体联系了MEF并询问INC勒索软件攻击的真实性，但MEF尚未对此进行回复。360数字安全——数字安全的领导者 第7页黑客信息披露 以下是本月收集到的黑客邮箱信息： [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] loh