2025-12-22 04:26:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： FinCEN最新报告显示2022-2024年全球勒索软件相关支付金额突破45亿美元，英国网络安全保险赔付激增230%但索赔量下降，表明攻击者正通过提高单次勒索金额和双重勒索策略获利。金融、医疗和制造业是主要受害行业，攻击策略已转向供应链渗透、虚拟化平台定向打击和隐蔽通信。防御建议包括对齐保险核保标准建设防御体系、消除内网弱口令隐患和建立合规导向的应急响应机制。 综合评分： 89 文章分类： 恶意软件,应急响应,漏洞分析,威胁情报,安全大事件

cover_image

FinCEN最新报告：全球勒索赎金突破300亿大关，英国网络安全保险赔付激增230%

原创

solarsec

solar应急响应团队

2025年12月15日 15:01 山东

随着2025年步入尾声，全球网络安全领域迎来了一组极具冲击力的年度复盘数据。

本月，美国财政部金融犯罪执法网络（FinCEN）发布了针对过去三年（2022-2024）的金融趋势分析报告。与此同时，英国网络保险行业也披露了最新的赔付统计。这两份跨越大西洋的报告共同指向了一个严峻的行业现实：勒索软件攻击正在演变为一场高成本的消耗战，企业面临的赎金压力与合规风险正呈指数级上升。

一、 FinCEN报告披露：涉案资金规模超320亿元人民币

美国财政部金融犯罪执法网络（FinCEN）在2025年12月发布的最新报告中，揭示了勒索软件在金融系统中的真实规模。

根据银行保密法（BSA）提交的报告数据，仅在2022年1月至2024年12月期间，被金融机构识别并报告的勒索软件相关支付金额就超过了 21亿美元（约合人民币152亿元） 。而据SecurityWeek报道，若统计更广泛的财政部监测数据，这一数字实际上已经突破了 45亿美元（约合人民币327亿元） 。

来自于勒索软件相关的BSA报告的可疑事件总数和金额，2013年至2024年

数据来源说明：该图表应反映出2023年支付金额达到历史峰值（11亿美元），以及2024年虽有回落但仍保持高位（7.34亿美元）的态势。

数据趋势显示，2023年是勒索软件产业化的高峰，单年支付金额同比增长77% 。虽然2024年的报告事件数量略有下降（1476起），但支付总额依然维持在7.34亿美元的高位。这表明，攻击者正在通过提高单次勒索金额来抵消攻击频次下降的影响，勒索攻击已不仅是技术骚扰，更成为了针对高价值目标的定向掠夺。

受害行业分布：FinCEN数据明确指出，资金实力雄厚且对业务连续性要求极高的行业是攻击者的首选目标。

金融服务业：支付总额居首，约3.65亿美元。
医疗行业：紧随其后，支付总额约3.05亿美元。
制造业：支付总额约2.84亿美元。

勒索软件事件中行业总支付金额前十名，2022年1月至2024年12月

二、英国保险数据预警：索赔量下降，赔付额却激增230%

如果说美国的金融数据反映了攻击者的获利情况，那么英国的保险数据则揭示了企业端的实际损失成本。

据英国科技媒体《The Register》援引最新行业数据报道，2024年英国网络保险市场出现了一个反常现象：勒索软件相关的保险赔付金额较2023年激增了 230% 。

这一激增并非源于攻击数量的爆发。事实上，同期的勒索软件索赔案件数量反而有所下降。这种“量减价增”的现象揭示了当前勒索攻击的两个核心特征：

1.赎金通胀与双重勒索：攻击者索要的赎金金额大幅上涨，且往往伴随着数据泄露威胁（双重勒索），迫使企业支付额外费用以阻止数据公开。

2.事故处置成本高企：除了赎金，企业在遭到攻击后用于系统重建、法律合规咨询、公关危机应对的隐性成本正在急剧攀升，导致单次理赔金额屡创新高。

英国勒索软件趋势(2024年活跃的勒索软件勒索名称)

三、 Solar团队观察：攻击策略向高价值目标收敛

结合FinCEN的宏观数据与Solar应急响应团队在2025年10月至11月的一线处置经验，我们发现攻击者的战术动作正在发生明显变化，呈现出高度的收敛性与破坏力。

1.供应链与核心业务系统的定向打击

FinCEN报告特别点名了 ALPHV/BlackCat 和 LockBit 等组织，它们是造成损失金额最高的勒索家族。这些组织通常具备极强的供应链渗透能力。

在Solar团队11月的监测中，我们发现 Weaxor 家族专门针对企业的财务系统漏洞进行攻击。攻击者利用企业对财务数据“零容忍”的心理，通过Nday漏洞或弱口令精准入侵，导致企业被迫在短时间内支付赎金。

相关阅读：Solar安全洞察 | 11月勒索态势月报：随手粘贴的代码，竟成5年泄密垃圾场

2.虚拟化平台成为攻击首选

FinCEN数据显示制造业和科技行业受损严重，这与我们10月份的观察高度一致。在Solar团队10月处置的勒索事件中，Mallox 及其变种占据了主导地位，且攻击重心已从传统的Windows服务器全面转向 VMware ESXi 等虚拟化平台。

攻击者利用管理后台的弱口令获取最高权限，直接在宿主机层面加密所有虚拟机文件。这种攻击方式能够瞬间瘫痪企业的核心业务集群，导致恢复周期极长，从而极大提升了企业支付赎金的概率。

相关阅读：【紧急预警】一个默认密码引发的系统雪崩：盗版Mallox家族正利用默认口令批量攻陷虚拟化平台

3.隐蔽通信增加溯源难度

FinCEN报告还指出，TOR（洋葱路由） 是攻击者最主要的通信与谈判渠道，占比高达67% 。攻击者利用加密通信隐藏身份及资金流向，这不仅增加了执法机构的追偿难度，也让企业在支付赎金后面临更大的合规风险。

| 通信方式 | 事件数量 | 付款价值 | | — | — | — | | TOR | 1,248 | ~$849.4 million | | Email | 523 | ~$164.8 million | | Encrypted Messenger Applications | 63 | ~$18.1 million | | Text File | 5 | ~$41,000 | | Embedded Message in Blockchain | 1 | ~$1,000 | | Unknown Communication | 2,436 | ~$1.4 billion |

四、防御建议：从事后理赔转向基线合规

面对单次勒索损失成本激增的现状，企业单纯依赖网络保险作为“兜底”策略已变得不再经济。保险公司面对高额赔付，势必会进一步收紧承保标准。

基于上述分析，Solar应急响应团队建议企业重点关注以下防御基线：

1.对齐保险核保标准建设防御体系：企业应主动参照网络保险的高级核保要求（如必须部署MFA、实行特权账号管理、具备离线备份机制等）来优化自身安全架构。这不仅有助于通过核保，更是当前防御高烈度勒索攻击的必要手段。

2.消除内网弱口令隐患：无论是国际上的高频变种，还是国内活跃的Mallox、Weaxor家族，弱口令与默认配置 始终是攻击者成本最低的入侵通道。请立即排查内网中的虚拟化平台（ESXi/vCenter）、财务系统及对外暴露端口，确保无默认口令存在。

3.建立合规导向的应急响应机制：FinCEN报告强调了向执法机构报告可疑交易的重要性。企业在制定应急预案时，除了技术恢复流程，还应纳入法务与合规指引：一旦发生勒索事件，如何评估支付赎金的法律风险？如何满足保险公司的理赔取证要求？这些决策机制应当在常态化运营中确立，而非在危机发生时临时决策。

相关阅读：关于虚拟化平台勒索防御及弱口令排查的建议，请参阅：Solar安全洞察 | 10月勒索态势月报：一个默认密码引发的系统雪崩

文章参考数据来源：

fincen.gov

techinformed.com

theregister.com

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇【病毒分析】Babyk加密器分析-NAS篇【病毒分析】Babyk加密器分析-EXSI篇【病毒分析】Babuk家族babyk勒索病毒分析【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目【病毒分析】phobos家族faust变种加密器分析【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密）【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密）【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告【病毒分析】Mallox勒索家族新版本：加密算法全面解析【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目【病毒分析】mallox家族rmallox变种加密器分析报告【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 | | 2025/ | |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流