卡巴斯基发布2025年勒索软件状况报告：国际反勒索软件日的全球和区域洞察

反勒索软件日由国际刑警组织（INTERPOL）与卡巴斯基于2020年联合设立，日期定为5月12日，旨在纪念2017年同一天爆发的臭名昭著的WannaCry勒索软件攻击事件。反勒索软件日的目的是提高全球对勒索软件威胁的认识，并推广预防和响应的最佳实践。

随着5月12日国际反勒索软件日临近，卡巴斯基就不断变化的全球和区域勒索软件网络威胁形势发布了年度报告。

根据卡巴斯基安全网络数据，中东、亚太和非洲地区遭受勒索软件攻击的用户比例最高，拉丁美洲、独联体（CIS）和欧洲紧随其后。全球范围来看，2023年到2024年，受勒索软件攻击的用户比例增长了0.02个百分点，达到0.44%。勒索软件的这一比例看似很小，但是非常典型，其原因在于攻击者通常不会大规模传播这种恶意软件，而是优先选择高价值目标，从而降低了整体事件数量。

在中东和亚太地区，由于数字化转型迅速、攻击面不断扩大以及网络安全成熟度参差不齐，勒索软件影响的用户比例较高。在对基础设施和运营技术的攻击推动下，亚太地区的企业成为主要攻击目标，尤其是在经济快速增长且实施新数据隐私法的国家。

非洲地区勒索软件攻击相对较少，这主要是因为该地区数字化程度较低和经济条件限制，导致高价值目标数量有限。但随着南非、尼日利亚等国数字经济的发展，勒索攻击正呈现上升趋势，特别是针对制造业、金融业和政府部门。尽管受攻击面较小使得该地区未成为全球网络威胁热点，但有限的网络安全意识和资源仍使许多组织面临风险。

拉丁美洲同样面临勒索软件攻击威胁，其中巴西、阿根廷、智利和墨西哥尤为严重。制造业、政府部门和农业，以及能源和零售等关键部门都成为被攻击目标，但经济限制和较小的赎金阻止了一些攻击者。尽管如此，随着数字化转型进程加速，该地区面临的网络安全风险正在持续上升。

独联体国家遭遇勒索软件攻击的用户比例相对较低。然而，活跃在该地区的激进黑客组织，例如Head Mare、Twelve等，经常使用LockBit 3.0等勒索软件对目标机构实施攻击。制造业、政府部门和零售业是遭受攻击最多的行业，整个地区的网络安全成熟度各不相同，对安全造成了影响。

欧洲一直是勒索软件的攻击目标，但得益于健全的网络安全框架和法规，也阻止了一些攻击者。尽管制造业、农业和教育领域常成为攻击目标，但成熟的应急响应机制和安全意识有效控制了攻击规模。该地区多元化的经济和强大的防御能力，使其成为勒索软件团伙关注的焦点程度低于那些数字化发展迅速且安全性较低的地区。

当前以及新兴的勒索软件趋势

人工智能工具越来越多地被用于勒索软件的开发，FunkSec就是一个例子。FunkSec是一个在2024年末出现的勒索软件组织，该组织在12月一个月就宣称感染了比Cl0p和RansomHub等老牌勒索软件组织更多的受害者，迅速恶名远扬。FunkSec 采用勒索软件即服务 (RaaS) 模式运作，使用双重勒索策略——将数据加密与数据窃取相结合——目标是欧洲和亚洲的政府、科技、金融和教育等部门。该组织对人工智能辅助工具的严重依赖使其与众不同，其勒索软件采用AI生成代码（包含完美无瑕的注释），很可能是通过大语言模型(LLM)生成，以此加速开发并规避检测。与通常索要数百万美元赎金的勒索软件组织不同，FunkSec采用高频次、低成本的独特模式，赎金要求异常低，进一步突显了其利用人工智能简化运营的创新之处。

勒索软件即服务（RaaS）模式仍是当前勒索攻击的主要运作框架，其通过降低网络犯罪的技术门槛，助长了此类攻击的泛滥。2024年，像RansomHub这样的RaaS平台蓬勃发展，它们提供恶意软件、技术支持和分成赎金的联盟计划。这种模式使得技术水平较低的犯罪分子也能发动复杂攻击，仅2024年一年就催生了多个新兴勒索软件组织。

预计到 2025 年，勒索软件将通过利用非常规漏洞而进化，正如Akira黑客组织所展示的那样——他们利用网络摄像头，绕过端点检测与响应(EDR)系统，成功渗透企业内部网络。攻击者可能会越来越多地将目标瞄准那些被忽视的入口点，例如物联网设备、智能家电或工作场所中配置错误的硬件，利用互联系统带来的不断扩大的攻击面。随着企业强化传统防御措施，网络犯罪分子正转向更隐蔽的侦察手段，通过精准的横向渗透在内部网络部署勒索软件，使得防御者更难及时检测和响应。

专门为网络犯罪定制的大型语言模型（LLM）的扩散，将进一步放大勒索软件的影响范围和影响力。在暗网上销售的大语言模型（LLM ）降低了创建恶意代码、实施网络钓鱼活动和社会工程攻击的技术门槛，从而让技术能力有限的攻击者，也能生成极具迷惑性的诱导内容，或实现勒索软件的自动化部署。随着RPA（机器人流程自动化）和LowCode（提供直观、可视、人工智能辅助的拖放界面，用于快速软件开发）等更多创新概念被软件开发人员迅速采用，我们可以预见勒索软件开发人员将使用这些工具来自动执行攻击和新代码开发，从而使勒索软件的威胁更加普遍。

卡巴斯基大中华区总经理郑启良说：“在网络安全形势日益复杂严峻的情况下，勒索软件的威胁不容小觑。随着数字化进程的飞速推进，网络攻击面持续拓展，新型威胁不断涌现，尤其是在一些关键领域，面临着更为紧迫的安全挑战。比如在金融、能源等行业，一旦遭受勒索软件攻击，可能会引发严重后果。同时，AI技术被恶意用于攻击，进一步加大了防护难度。我们应借助卡巴斯基的专业方案，像端点防护、实时监测以及数据备份等措施，提升防护能力。强化员工的网络安全意识，共同应对勒索软件等网络威胁。”

“勒索软件是当今企业面临的最紧迫的网络安全威胁之一，攻击者将目标对准了各个地区各种规模的企业。在我们的报告中，我们强调了一种令人担忧的转变：攻击者正将目标转向物联网设备、智能电器以及配置不当或过时的办公硬件等易被忽视的入口节点。这些薄弱点往往不受监控，成为网络犯罪分子的首要目标。为了确保安全，企业需要分层防御：采用最新系统、网络分段、实时监控、强大的备份和持续的用户教育。在各个层面建立网络安全意识与投资合适的技术同等重要，”卡巴斯基全球研究与分析团队俄罗斯和独联体研究中心负责人Dmitry Galov评论说。

更多有关2025年勒索软件的趋势等信息，请参阅Securelist.com上的报告。

在反勒索软件日及以后的日子里，卡巴斯基鼓励各组织遵循以下最佳实践，以防范勒索软件：

·确保为所有端点都进行反勒索软件保护。免费的卡巴斯基反勒索软件工具企业版能够保护计算机和服务器免受勒索软件和其他类型的恶意软件的侵害，阻止漏洞，并且与已经安装的安全解决方案兼容。

·始终更新所有设备上的软件，以防止攻击者利用漏洞入侵您的网络。

·将您的防御策略集中在检测横向移动和数据向互联网的外泄上。特别注意传出流量，以检测网络罪犯的连接。建立入侵者无法篡改的脱机备份。确保您可以在需要时或在紧急情况下快速访问它们。

·安装反APT和EDR解决方案，启用高级威胁发现和检测功能，进行及时的事件调查和修复。为您的SOC团队提供最新的威胁情报，并定期对他们进行专业培训，提高他们的技能。以上所有服务都可以通过卡巴斯基专家安全框架获取。

·使用最新的威胁情报信息，实时掌握攻击者实际采用的战术、技术与程序（TTP）。

·使用卡巴斯基Next产品线提供的全方位解决方案，为任何规模和行业的公司提供实时保护、威胁可见性、高级调查和响应能力。根据当前需求和可用资源，公司可以选择最相关的产品层级，如果您的网络安全要求发生变化，可以轻松迁移到另一个层级。