2025年,勒索软件攻击呈现明显反弹态势,与2024年相比,公开曝光的案件数量增长了45%,总计达到9251起。这些数据来源于威胁暴露管理平台NordStellar的最新报告。
尤其是第四季度,攻击活动达到近两年峰值。攻击者充分利用年底人员减少、警惕性下降的时机,12月单月案件就突破1004起,创下同期最高纪录。
从受害者分布看,美国中小型制造商成为重灾区,特别是通用制造业、机械制造以及家电、电气和电子产品制造领域的企业,遭受冲击最为严重。
在活跃团伙中,Qilin的表现最为突出,全年攻击数量位居首位,其次是Akira和重新活跃的Cl0p。
NordStellar网络安全专家Vakaris Noreika指出:“年底最后一个季度,许多勒索软件团伙故意抓住企业监控松懈的窗口期发起攻击。但更令人担忧的是,全年攻击都在持续攀升,手段越来越激进。如果趋势延续,2026年的案件数量很可能突破1.2万起。”
他还提到,尽管有15个暗网勒索软件团伙突然宣布“退休”,但活跃的勒索软件团伙数量还在快速增加。2025年追踪到的案件涉及134个不同勒索软件团伙,比2024年的103个增加了30%。
美国中小企业承受最大压力
美国企业仍是首要目标,2025年记录在案的案件达到3255起,同比增长28%,占全球总量的64%。加拿大以352起位列第二(增长46%),德国270起(增长97%),英国233起(增长2%),法国155起(增长46%)。
员工规模不超过200人、年收入低于2500万美元的中小企业受害最重,这与2024年的情况一致——它们始终是勒索软件攻击的主要对象。
Noreika解释道:“中小企业往往缺少专职安全团队和充足预算,也更容易使用老旧软件,监控能力有限,很多还依赖外部供应商提供IT支持。一旦中招,为了尽快恢复业务,它们往往选择支付赎金,这也让攻击者把它们当作首选目标。”
制造业持续高危
制造业仍是重灾区,2025年发生1156起事件,同比增长32%,占比19.3%。紧随其后的是IT行业(524起,增长35%)、专业科学和技术服务业(494起,增长30%)、建筑业(443起,增长24%)。医疗保健行业则略有回落,339起,同比减少6%。
在制造业内部,中小型通用制造企业受害最严重,其次是机械制造以及家电、电气和电子产品制造领域的中小企业。
Qilin等团伙主导攻击
Qilin以1066起攻击高居榜首,同比增长408%;Akira947起(增长125%);Cl0p594起(增长525%);新兴的Safepay增长尤为迅猛,464起(增长775%);INC ransom则有442起(增长83%)。
面对持续威胁,企业该怎么做
Noreika强调,强化基础安全措施是当务之急:及时更新系统和应用、启用多因素认证、落实密码管理策略、推行零信任架构,防止恶意软件横向扩散。
“威胁情报在早期发现和阻止攻击中至关重要,”他表示,“暗网泄露的数据往往包含凭据或敏感信息,及早监测可以让企业迅速重置密码、撤销密钥、封禁账户,从而更快响应事件。”
“暗网下/AWX”警告,2026年,勒索软件威胁不会减弱,企业只有把基础防护、情报监测和应急响应真正落到实处,才能有效降低风险。
同时,制定详细的勒索软件事件响应计划和数据恢复方案同样不可或缺。定期备份关键数据,能最大程度减少业务中断时间,让企业在攻击来临时更有底气拒绝支付赎金。