【洞见·TMT】

　　随着社会数字化程度的不断提升，恶意软件已经成为现代企业组织面临的最严重安全威胁之一。在海量现代网络攻击中，勒索软件造成的危害不可忽视。它会加密受害者的文件并锁定对其计算机系统的访问，要求受害者支付赎金，给受害者造成高额财产损失，还会导致敏感数据泄露。

　　近日，360数字安全集团以2025年全年勒索软件事件监测、分析与处置数据为基石，融合国内外一线安全态势数据、权威研究报告及国际热点事件情报，经综合研判梳理，权威发布《2025年勒索软件流行态势报告》（以下简称“报告”）。该报告基于对勒索软件传播特征、演变规律与发展趋势的深度剖析，系统性解构其背后生态链的演进逻辑，旨在助力政企机构构建覆盖“监测预警、应急响应、长效防护”的体系化防御能力，为数字安全建设提供有力的实践指引与策略支撑。

　　勒索态势整体平稳，加密技术转向性能竞逐

　　报告显示，2025年我国勒索软件传播态势总体延续了2024年以来的相对平稳状态，虽然新的勒索家族不断出现，且传统团伙仍频繁攻击，对个人、企业与政府机构持续形成威胁，但未出现单一勒索软件在短期内引发大规模爆发的情况。这一方面得益于安全厂商技术能力的持续提升与协同应对，另一方面也源于各类用户安全意识的普遍增强。

　　从勒索软件家族分布来看，PC端仍以Weaxor、LockBit与Wmansvcs三大老牌家族及其变种为主。Weaxor凭借Web漏洞利用等手段占据传播榜首，并在攻击中结合漏洞驱动进行内核对抗以提升成功率；Wmansvcs则承接了Phobos的传播模式，主要在国内通过远程桌面弱口令爆破传播；LockBit在年底以5.0版本回归，并引入第三方黑产团伙协作，进一步扩大了其威胁生态。

　　此外，报告指出，当前主流勒索家族普遍采用对称加密处理大规模文件数据，并以非对称或椭圆曲线算法保护密钥，构成兼顾强度与效率的多级加密方案，演化重点正从方案设计转向执行效率优化，以提升加密速度并降低暴露风险。

　　从传播方式看，勒索软件的传播手段依然是以远程桌面和漏洞利用为主，仅这两种传播途径就占到了总量的近八成。其中，远程桌面入侵目前仍是导致勒索感染的主要途径，但其优势正在缩小，漏洞利用的比例已与之十分接近。远程桌面攻击持续高发，主要因为该手段已形成成熟的入侵工具链，加之大量中小企业和日益增多的家庭用户在公网上开放相关端口且缺乏有效防护。

　　与此同时，漏洞利用攻击主要集中在Web应用及各类管理系统的安全弱点上，已成为当前勒索传播中增长迅速且危害突出的重要渠道。

　　双重勒索已成主流，大中型企业成为攻击重点

　　数据作为企业核心资产，其泄露不仅造成经济损失，更影响企业的声誉、合规与业务连续性。在此背景下，当前勒索攻击模式不断演变，已从单纯加密数据演变为多重胁迫的复杂策略。

　　报告显示，2025年参与双重/多重勒索的活跃勒索软件家族达到122个，较2024年增长近三成。其中，头部Top10家族仍占据主导地位，但更多新兴家族占比显著提升，呈现出明显的长尾分布态势。

　　与去年相比，2025年数据泄露事件高度集中于服务业与制造业，其次为建筑、医疗与金融业。这一变化源于勒索攻击日益聚焦于设备规模大、数据价值高的中大型企业。此外，教育、能源等行业亦位列前十，凸显相关领域亟需加强勒索防护。

　　报告总结指出，2025年勒索软件的演化呈现以下规律：家族维系的关键更偏向生态协作而非代码本身；品牌、团伙与开发者间的界限日益模糊；攻击主战场正向云环境、ESXi及SaaS服务转移。未来，勒索生态或将更多以“联盟”形式出现，而非独立的家族运作。

　　勒索目标聚焦政企，加密威胁瞄准数据库

　　统计发现，2025年勒索软件攻击的地域分布保持稳定，仍集中在数字经济发达及人口密集地区。广东、北京、浙江位列受影响程度前三，这说明发达区域持续面临更高威胁。

　　制造业、互联网及软件服务业以及服务业位列受害行业前三，医疗等敏感行业亦在其中。这些领域普遍具有信息化程度高、数据资产价值大、支付意愿强的特点，因此面临更大的暴露面和更高的勒索风险，成为攻击者持续聚焦的目标。

　　受攻击系统分布上，Windows 10、Windows Server 2012与2008位列前三。其中Windows 10占比虽仍居首，但较2024年明显回落，主要受其进入生命周期末期及攻击向政企服务器倾斜的影响。

　　从操作系统类型的角度看，桌面PC整体占比亦随之下降至55.31%，而针对Linux及NAS系统的攻击则保持稳定但占比较低。这一变化反映出勒索攻击正持续转向服务器及政企目标，相关机构需进一步提升安全防护。

　　较去年相比，数据库与办公文档仍是受害方最主要的两类被加密数据，但二者的排序发生对调：数据库现居首位，且领先优势显著。这一变化与政企机构遭受攻击比例上升密切相关，因大量业务数据更多存储于数据库中，相关专业软件也普遍依赖数据库进行数据调用与管理。

　　勒索攻防格局重塑，AI驱动攻防对抗

　　基于对2025年勒索软件传播与演变态势的深入分析，报告进一步对其未来发展趋势作出研判，并提出相应的防御应对策略。

　　一是AI正全面重塑勒索攻防格局，由辅助工具演变为核心引擎。攻击侧借助大模型与自动化技术，实现攻击链智能定制与全流程自主渗透，使勒索软件具备动态规避和精准打击能力；防御侧则依托AI模型驱动威胁检测、行为分析与自动化响应，推动安全体系从规则依赖向智能研判升级。与此同时，AI大幅降低了高级安全能力的应用门槛，助力各类企业应对日趋智能化的勒索威胁，标志着攻防对抗正式进入以人工智能为核心驱动的新阶段。

　　二是攻击团伙更加专业化、系统化，中小企业成为高频目标。攻击团伙运作日益接近“准红队”模式，其采用结构化入侵战术与模块化工具链，RaaS模式趋于成熟，甚至引入KPI与分成机制，推动攻击行动向产业化发展。同时，n-day漏洞武器化速度显著加快，从公开到利用平均缩短至7天内，使得补丁管理薄弱的中小企业成为主要受害者。面对专业攻击与自身能力不足，越来越多的企业开始转向安全托管服务（MSS）与SaaS化防护方案，推动安全能力外包成为主流应对策略。

　　三是在与勒索软件的持续对抗中，创新是打破攻防平衡、推动防御体系实现系统性跨越的核心动力。未来的勒索对抗，比拼的将是AI的部署速度和防御体系的韧性。广大政企机构不能再依赖单一的安全产品，而需要构建一个以AI为核心、涵盖终端、网络、应用和云环境的统一安全运营体系。（张晨昊）