2025年2月勒索软件流行态势分析.docx

勒索软件流行态势分析

三六零数字安全科技集团|高级威胁研究分析中心

勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提供360反勒索服务。

2025年2月，全球新增的双重勒索软件家族包有Anubis和RunSomeWares，前者具备跨平台的勒索能力并主要以数据窃取为主。老牌双重勒索软件Clop勒索软件利用软件漏洞（疑似CraftCMSCVE-2025-23209与PaloAltoNetworksPAN-OSCVE-2025-0111）在2月份纪录式地入侵了335个受害者，以北美为地区主。

以下是本月值得关注的部分热点：

黑客利用SimpleHelpRMM漏洞部署Sliver恶意软件

CISA和FBI表示Ghost勒索软件入侵了70个国家或地区的组织新的NailaoLocker勒索软件被用于攻击欧盟的医保组织

基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

感染数据分析

针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比24.42%居首位，第二的是RNTC占比16.28%的，Makop家族以15.12%位居第三。

图1.2025年2月勒索软件家族占比

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows10、WindowsServer2008以及WindowsServer2016。

图2.2025年2月勒索软件入侵操作系统占比

2025年2月被感染的系统中桌面系统和服务器系统占比显示，受攻击的系统类型桌面PC与服务器平台较为接近，NAS平台以内网SMB共享加密为主。

图3.2025年2月勒索软件入侵操作系统类型占比

勒索软件热点事件

黑客利用SimpleHelpRMM漏洞部署Sliver恶意软件

黑客以存在漏洞的SimpleHelpRMM客户端为目标，创建管理员帐户、放置后门并可能为勒索软件攻击奠定基础。被利用的漏洞编号为CVE-2024-57726、CVE-2024-57727和CVE-2024-57728。上周有报告称这些漏洞可能被ArcticWolf利用，但尚未找到确切证据。此外，网络安全研究人员还观察到的活动有Akira勒索软件攻击的迹象，不过目前没有足够的证据来进一步印证勒索攻击与漏洞利用的必然联系。

本轮攻击始于攻击者利用SimpleHelpRMM客户端中的漏洞建立与目标端点的未经授权的连接。已观察到的攻击事件中，攻击者连接到爱沙尼亚IP的服务器

71的80端口上运行的SimpleHelp实例。通过RMM连接后，攻击者会快速执行一系列发现命令以了解有关目标环境的更多信息，这包括系统和网络详细信息、用户和权限、计划任务和服务以及域控制器信息。此外，安全人员还发现受害机器中存在CrowdStrikeFalcon安全套件的命令，可能是攻击者尝试利用该命令绕过机器中的权限控制。

之后，攻击者利用他们的访问权限继续创建了一个名为“sqladmin”的新管理员帐户来维护对环境的访问，并安装Sliver利用框架（agent.exe）。在过去几年中，Sliver一直是作为CobaltStrike的替代方案，该工具的使用量有所增加，而CobaltStrike则因越来越容易被安全软件检测到而被逐渐抛弃。部署Sliver后，攻击者则通过命令链接到控制服务器以打开反向Shell或等待命令在受感染的主机上执行。

在攻击中观察到的Sliver信标被配置为连接到荷兰的C2。此外，研究人员还发现受害机器中被启用了远程桌面协议（RDP）的备份功能。建立持久性链接后，攻击者通过使用相同的SimpleHelpRMM客户端破坏域控制器（DC）并创建另一个管理员帐户“fpmhlttech”来进一步深入整个系统的内部网络中。目前未发现攻击者安装后门，而是安装了伪装成svchost.exe的CloudflareTunnel以保持隐蔽访问并绕过安全控制和防火墙。

CISA和FBI表示Ghost勒索软件入侵了70个国家或地区的组织

美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）表示，部署G