勒索软件流行态势分析 2025年3月 三六零数字安全科技集团|高级威胁研究分析中心360数字安全——数字安全的领导者 第1页勒索软件传播至今，360反勒索服务已累计接收到数万勒索软件感染求助。随着新 型勒索软件的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的 勒索案件不断出现。勒索软件给企业和个人带来的影响范围越来越广，危害性也越来越 大。360全网安全大脑针对勒索软件进行了全方位的监测与防御，为需要帮助的用户提 供360反勒索服务。 2025年3月，全球新增的双重勒索软件家族有Babuk2、Crazyhunter、Nightspire、 Ralord、VanHelsing、Weyhro、Skira、Secp0、Arkana等。 其中Babuk2是Babuk勒索软件的后续变种，运营者对Babuk勒索家族进行了仿冒。 主要针对VMwareESXi平台实施攻击，采用AES+RSA加密算法及双重勒索策略（加密文 件并窃取数据），Babuk代码因在暗网部分泄露而增强了传播威胁。 CrazyHunter最早现身于2025年2月，其使用Prince家族泄露源码构建。利用污 染的USB设备作为初始攻击载体。当前该家族攻击的10个目标全部为中国台湾企业， 涉及教育、医疗、体育、科技等行业。 NightSpire攻击主要利用FortiOS漏洞（CVE-2024-55591）获取管理员权限进行初 始访问，随后进行横向移动攻击。喜好对受害者进行施压，要求2天内支付并公开拒绝 付款企业信息以削弱受害企业声誉。 RALord利用Python/Rust开发加密器，以RC4+PRGA算法加密文件（扩展名.RALord）， 重点攻击Fortinet、SonicWall、Cisco等企业设备，并偏好暴力破解与CVE漏洞利用； 该组织以高分成比例吸引附属机构，提供工具链与暗网服务，疑似关联已关闭的RA World（曾用Go存储样本，与停运的FunkSec代码部分相似）。 VanHelsing勒索家族采用C++编写，支持Windows、Linux、BSD、ARM、ESXi系统， 具备跨平台威胁能力。运营方要求加盟者禁止攻击独联体国家，并通过区块链验证的 5000美元保证金准入（优质攻击者可豁免）。加盟者分成80%，运营方抽取20%。360数字安全——数字安全的领导者 第2页以下是本月值得关注的部分热点： CISA称Medusa勒索软件攻击了300多个关键基础设施组织 EncryptHub利用Windows的0day漏洞部署勒索软件 勒索软件从网络摄像头对网络进行加密以绕过EDR 基于对360反勒索服务数据的分析研判，360数字安全集团高级威胁研究分析中心 (CCTGA勒索软件防范应对工作组成员）发布本报告。360数字安全——数字安全的领导者 第3页感染数据分析 针对本月勒索软件受害者设备所中病毒家族进行统计：Weaxor家族占比35.97%居 首位，第二的是RNTC占比22.30%的，Makop家族以15.51%位居第三。 其中：Weaxor家族最早出现于2024年11月，是Mallox家族的变种版本。该团伙 重点攻击国内的用友NC、亿赛通、蓝凌、明源、智邦、灵当、致远OA、SQLServer等 Web应用和数据库，针对部分机器投递CobaltStrike进行远程控制，针对部分机器投递 勒索病毒。 自2025年1月起此家族持续霸榜Top1，赎金范围从8千到1.5万人民币间波动。 图1.2025年3月勒索软件家族占比