2025年十大最危险勒索软件组织榜单

虽然2024年勒索赎金大幅回落，但2025年勒索软件卷土重来，前两个月活动显著增加。三大勒索软件组织中，BlackLock在2024年第四季度数据泄露帖子增长1425%，有望成为2025年最活跃的勒索软件组织。RansomHub在2024年攻击531次，受害者超过210个。LockBit尽管2024年受到执法行动影响，2025年仍反弹强劲。

其他勒索软件组织如阿基拉（Akira）、美杜莎（Medusa）、黑巴斯塔（Black Basta）、奇林（Qilin）、芬克塞克（Funksec）、克洛普（Cl0p）和林克斯（Lynx）在2024年和2025年初都进入了活跃期。

2025年勒索软件的重点策略包括双重勒索（加密和数据泄露威胁）和RaaS模型，大大降低了勒索软件的技术门槛，技术水平较低的犯罪分子也可参与。AI的采用是2025年勒索软件技术一个重要趋势，Funksec可能是首个使用AI开发的流行勒索软件软件。同时，防御者也利用AI增强威胁检测和响应能力，这场攻防战的核心是网络安全实践的持续创新。

执法行动如对LockBit的打击导致市场碎片化，新兴组织挑战传统主导者的地位。2024年第三季度，顶级10个勒索软件组织实施了58.3%的攻击，新兴勒索软件组织的影响力在持续增长。

以下是GoUpSec通过活跃度、赎金金额、受害者数量、高调攻击、技术复杂度等评价指标，基于公开威胁情报数据评选出的2025年最危险的十大勒索软件：

• 历史与活动：自2024年3月以来，2024年Q4数据泄露帖子增长1425%，成为第七活跃组。ReliaQuest预测2025年可能超过赎金中心，成为最活跃的RaaS组织。

• 运作方式：开发自定义恶意软件，目标Windows、VMware ESXi和Linux环境，采用双重勒索策略。

• 目标受害者：2024年目标美国房地产、制造和医疗组织，地理范围广泛。

• 2025年预测：在RAMP论坛上活动量是赎金中心的9倍，预计继续快速增长。

• 历史与活动：2024年2月出现，迅速成为主要威胁，2024年攻击531次。

• 运作方式：通过合法管理工具部署加密工具，采用“亲和力”RaaS模型，允许附属机构直接收取赎金。

• 目标受害者：210多个受害者，涉及医疗、金融、政府服务和关键基础设施。

• 2025年预测：尽管黑锁可能超过，但仍保持高活跃度。

• 历史与活动：2024年受到执法行动影响，但显示复苏迹象，仍然活跃。

• 运作方式：采用RaaS模型和双重勒索，加密效率高。

• 目标受害者：2024年目标政府服务、私营公司和关键基础设施。

• 2025年预测：尽管受打击，但仍保持一定活跃度。

• 历史与活动：2023年初出现，持续活跃，2025年1月受害者达72个。

• 运作方式：利用企业VPN设备缺乏认证和泄露的凭据攻击系统。

• 目标受害者：北美、欧洲和澳大利亚的中小型企业，涉及制造、教育等行业。

• 2025年预测：继续针对关键行业。

• 历史与活动：2022年出现，2024年保持活跃。

• 运作方式：通过漏洞利用、钓鱼邮件或初始访问经纪人入侵系统。

• 目标受害者：美国、欧洲和印度的医疗、教育、制造和零售组织。

• 2025年预测：继续扩展目标行业。

• 历史与活动：2022年初出现，2024年影响500多个组织。

• 运作方式：利用已知漏洞和社会工程，邮件轰炸员工。

• 目标受害者：全球组织，涉及多个行业。

• 2025年预测：可能解散，但目前仍具威胁。

• 历史与活动：2022年5月以来活跃，2024年排名第四。

• 运作方式：目标Windows和Linux系统，采用双重勒索。

• 目标受害者：通过地下论坛招募附属机构，禁止攻击独联体国家。

• 2025年预测：继续扩展影响。

• 历史与活动：2024年晚期出现，12月声称85个受害者。

• 运作方式：可能使用AI开发恶意软件，采用双重勒索，勒索金额低。

• 目标受害者：主要在美国、印度、意大利等，部分数据泄露可疑。

• 2025年预测：新组可能增强能力，成为主导玩家。

• 历史与活动：2019年以来活跃，2023年MOVEit漏洞利用影响数千组织。

• 运作方式：利用零日漏洞，依赖数据泄露网站勒索。

• 目标受害者：全球主要组织，涉及关键行业。

• 2025年预测：继续利用漏洞，保持威胁。

• 历史与活动：2024年7月以来活跃，2024年声称70多个受害者。

• 运作方式：RaaS模型，双重勒索，目标金融和能源行业。

• 目标受害者：美国和英国的零售、房地产等行业。

• 2025年预测：继续扩展目标行业。