近期勒索软件攻击量飙升30% 软件与制造供应链成重灾区

摘要：2025年末起勒索攻击激增30%，Qilin与CL0P最为活跃，美英澳及供应链企业成主要目标。

“自2025年末以来，勒索软件攻击激增了30%，并且这一趋势持续到了2026年初，其中许多攻击影响了软件和制造业供应链。”——这是Cyble今天发布的新研究中的一些要点。同时该研究还分析了顶级勒索软件组织、重大勒索软件攻击事件、新兴勒索软件组织，并给出了网络防御建议。

报告显示，勒索软件组织在2025年最后三个月宣称发动了2018次攻击，平均每月近673次。高企的攻击水平持续到2026年1月，勒索软件组织宣称有679名勒索软件受害者。

Cyble指出，在2025年前九个月，勒索软件组织平均每月宣称有512名受害者，因此近期的趋势比该数字高出30%以上。下图是Cyble自2021年以来的月度勒索软件攻击图表，显示自2025年中以来持续上升的趋势。

Qilin保持头名，CL0P卷土重来

Qilin再次成为头号勒索软件组织，其在一月份宣称有115名受害者。而CL0P以93名受害者位列第二，该组织在最近几周一次尚未明确说明的攻击活动中宣称了“大量受害者”。Akira以76次攻击保持在领先行列，新出现的Sinobi和The Gentlemen位列前五。

“CL0P倾向于集群式宣称受害者，例如10月，其利用Oracle电子商务套件漏洞帮助供应链攻击创下纪录，该组织的新活动值得注意，”Cyble说。其最新活动中的受害者包括11家澳大利亚公司，涵盖IT、银行和金融服务、建筑、酒店、专业服务和医疗保健等多个行业。

Cyble还表示，CL0P近期的其他受害者还包括“一家美国IT服务和人事派遣公司、一家全球酒店公司、一家大型媒体公司、一家英国支付处理公司以及一家从事铂族金属生产的加拿大矿业公司”。

攻击地域与行业分布

美国再次成为勒索软件攻击最多的国家，而英国和澳大利亚面临的攻击量高于正常水平，主要是由于CL0P近期针对这两个国家攻击量有所增加。

建筑、专业服务和制造业仍然是勒索软件组织伺机攻击的目标，而IT行业也仍然是勒索软件组织最青睐的目标之一，“可能是由于该行业代表着丰厚的目标，并且有可能转向其下游客户环境，”Cyble说。

勒索软件攻击波及供应链

Cyble记录了1月份发生的10起重大勒索软件攻击，其中许多都具有供应链影响，例如：

Everest勒索软件组织入侵了一家美国主要的电信网络设备制造商，Everest声称数据包含包含电气原理图等敏感工程材料的PDF文档。

Sinobi宣称入侵了一家印度IT服务公司。攻击者分享的样本表明其访问了内部基础设施，包括Microsoft Hyper-V服务器、多台虚拟机、备份和存储卷等。

Rhysida勒索软件组织对一家美国生命科学和生物技术仪器公司的进行了攻击，据称泄露了工程蓝图和项目文档等敏感信息。

RansomHouse对一家为汽车制造商提供服务的中国电子产品制造商的攻击，可能泄露了大量专有工程和生产相关数据以及与多家主要技术和汽车公司相关的数据。

INC Ransom对一家为全球电子和汽车行业提供服务的香港元件制造商的攻击，可能泄露了与十几家主要全球品牌相关的客户信息以及至少三家大型IT公司的机密合同和项目文档。

此外，报告还记录了三家新勒索软件组织的崛起：Green Blood、DataKeeper和MonoLock。其中DataKeeper和MonoLock发布了有关技术和支付功能的详细信息，旨在吸引勒索软件附属组织加入其运营。

结语

针对日益工业化和AI化的勒索软件威胁，企业的应对策略必须从“被动预防”转向“主动检测与响应”，构建一个以行为分析和情报驱动为核心的动态防御体系。

战略与架构层面

采用零信任模型：坚持“从不信任，始终验证”的原则，强制多因素认证（MFA），实施最小权限访问和网络微隔离，以限制勒索软件在网络内的横向移动。

建立主动式防御体系：从“防患于未然”转向“假定失陷”思维，聚焦于行为分析而非特征匹配，并利用威胁情报进行预测性防御。

核心技术与操作层面

强化端点防护：部署端点检测与响应（EDR）或扩展检测与响应（XDR）方案，利用行为分析和AI进行实时监控、自动响应和深度调查。

严格的补丁管理：自动化补丁部署，并优先处理关键安全更新，因为许多攻击利用的是已知漏洞。

可靠的数据备份：遵循3-2-1备份原则（3份数据副本，2种存储介质，1份异地存储），并确保使用不可变备份，定期测试恢复流程。这是遭遇攻击后避免支付赎金的最后保障。

人员与流程层面

持续的员工培训：人是防线中最薄弱的一环，开展互动式、实战化的安全意识培训。同时，培训也必须与时俱进，特别关注识别AI生成的钓鱼邮件和社会工程攻击。

制定并演练事件响应计划：制定详细的勒索软件专项应急响应计划，明确角色职责，并定期进行桌面推演或实战演练，确保攻击发生时能快速、有序地响应，减少损失。

第三方供应商评估：攻击者通过入侵一家软件供应商或IT服务商，即可“批发式”攻击其下游众多客户。因此，对第三方的安全评估必须是持续性的。

情报与协作层面

利用威胁情报：通过监控暗网、行业报告等获取威胁情报，用于主动狩猎威胁、识别攻击者基础设施和调整防御策略，帮助企业在攻击发生前或早期发现威胁迹象。

参与行业协作：加入网络安全社区，分享威胁指标（IoC）和应对经验，形成集体防御。应对快速演变的威胁，单打独斗效果有限。