2025-12-29 00:56:03 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 10月勒索态势显示，Mallox家族利用默认口令批量攻陷虚拟化平台，占比达30%。攻击者爆破获取root权限加密虚拟机，常导致备份丢失。全球方面F5源代码失窃、Salesforce语音钓鱼及Capita因告警疲劳被重罚。建议企业收敛公网暴露面、修改默认密码、部署MFA，并建立告警分级与响应机制，严防供应链与基础配置风险。 综合评分： 89 文章分类： 应急响应,威胁情报,恶意软件,安全意识,供应链安全

cover_image

Solar安全洞察 | 10月勒索态势月报：一个默认密码引发的系统雪崩

原创

solarsec

solar应急响应团队

2025年10月31日 15:05 山东

导读：

10月，全球网络安全形势依然严峻，供应链攻击的阴影持续笼罩。本月，我们见证了 F5 源代码与未公开漏洞被窃取，引发了对其全球客户的潜在威胁；同时，Salesforce 生态系统也因第三方身份验证流程的疏忽，导致其众多知名客户（如联邦快递、迪士尼）面临数据勒索。

在国内，Solar应急响应团队也观察到了一个极为严峻的趋势：虚拟化平台正成为勒索团伙的“重灾区”。以 Mallox 家族为代表的攻击者，不再依赖高深漏洞，而是利用企业最易忽视的默认口令，长驱直入，批量加密虚拟机，导致业务系统全面瘫痪。

本期月报，Solar应急响应团队将为您深入解析本月国内勒索攻击的最新态势，复盘全球重大供应链安全事件，并提供切实可行的防御建议。

一、本月发文总览

本月团队共发布15篇安全相关内容，涵盖新闻转载、原创文章、工具分享等多个维度，具体列表如下：

二、本月Solar应急响应数据：虚拟化平台成重灾区

本月（2025年10月），Solar应急响应团队共处置各类网络安全事件 54 起。

在勒索软件事件中，“疑似（俗称‘盗版’）Mallox”家族的活跃度占比最高，达到 21 起，占本月总事件数的 30%。

更值得警惕的是，Mallox家族的攻击目标已明显从传统的Windows业务主机，转向了虚拟化管理平台与 Linux 服务器。

在与 Mallox 相关的 18 起事件中，有 10 起（约 66%）发生在虚拟化管理平台（如 vSphere, ESXi）或 Linux 环境。
这些攻击的主要入侵手段惊人地一致：并非利用复杂的0day漏洞，而是通过互联网直接爆破管理后台的默认口令或弱口令。

本月核心威胁：一个默认密码引发的系统雪崩

此次针对虚拟化平台的攻击，暴露了企业在IT资产管理和安全配置上的致命短板。

典型攻击路径：

1.扫描：攻击者在公网无差别扫描暴露的虚拟化管理平台（如 PVE, ESXi）的登录API或SSH端口。

2.爆破：利用自动化工具，通过“默认口令”（如 root/vmware）或弱口令字典进行长达数周甚至数月的持续爆破

3.登录：一旦爆破成功，攻击者即获得平台最高管理权限（root）。

4.加密：攻击者直接在宿主机上运行针对Linux/ESXi环境定制的Mallox加密器，批量加密所有虚拟机的磁盘文件（.vmdk, .vma.lzo 等）。【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！

5.灾难：由于企业的所有业务系统（ERP、OA、数据库等）均运行在虚拟机上，导致业务全面瘫痪。更致命的是，许多企业的备份服务器也作为虚拟机运行在同一平台，导致备份文件被一同加密，彻底切断了快速恢复的希望【紧急预警】一个默认密码引发的系统雪崩：盗版Mallox家族正利用默认口令批量攻陷虚拟化平台

这一系列事件再次证明，最昂贵的防火墙，也抵不过一个最简单的默认密码。

三、10月热点事件深度复盘

本月，全球范围内发生了多起极具代表性的安全事件。我们不再局限于分析文章的阅读量，而是深入事件本身，复盘其背后的技术与管理教训。

复盘1：【Capita】1.3亿罚款——告警疲劳的昂贵代价

事件：英国外包巨头 Capita plc 因2023年的一次数据泄露事件，于本月被英国信息专员办公室 (ICO) 处以 1400万英镑（约1.34亿元人民币） 的重罚。
起因：一名员工误点击了恶意文件（钓鱼邮件），导致 Black Basta 勒索软件入侵。
致命缺陷：根据ICO的调查报告，Capita的安全系统在员工点击恶意文件后的十分钟内就触发了自动警报。然而，由于“安全运营中心人手不足和响应缓慢”，该受感染设备在长达 58小时 后才被完全隔离。
后果：攻击者利用这宝贵的58小时，横向移动并窃取了近1TB数据，涉及约660万人的敏感养老金及员工记录。

罚款1.3亿：员工误点文件致660万人数据泄露

Solar锐评：压垮业务的不是病毒，是被忽略的告警

Capita事件是告警疲劳导致灾难性后果的典型案例。它向所有管理者提出了一个尖锐的问题：我们重金采购的安全设备，产生的告警真的有人在看、有人在响应吗？

许多企业面临的现实是，安全设备每天产生海量告警，运维人员早已麻木，将其视为背景噪音。缺乏有效的告警分级（Triage）、自动化研判（SOAR）和明确的应急联动机制（SOP），再多的安全投入也可能在真正的攻击面前形同虚设。

企业反思：

我们是否有7×24小时的告警监控和响应机制？
是否有明确的告警升级流程？（例如：批量文件加密、横向移动是否被定义为最高优先级P1事件？）
我们的安全运营（无论是自建SOC还是MDR托管服务）是否在有效运转？

详情阅读：西宁某单位26台服务器被勒索加密：压垮业务的不是病毒，而是被忽略的告警

复盘2：【888家族】IT/OT联动打击——隔离在实战中为何失效？

事件：本月我们成功处置了一起针对国内某高端制造企业的“888”家族勒索攻击【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗。
攻击链：这是一次典型的贯穿IT与OT的系统性渗透。攻击者通过 FortiGate 防火墙漏洞 打开突破口，利用 LDAP/AD 集成机制窃取凭据，潜伏近半年后，通过一台“双网卡文件服务器”作为跳板，利用 MS17-010（永恒之蓝） 漏洞攻陷工控网络（OT）。
后果：IT与OT系统被同时加密，生产线全面停摆，攻击者索要 30 万美元（约200万人民币）赎金
处置结果：Solar团队通过逆向分析发现其加密算法存在技术切入点，最终免赎金成功恢复了核心数据。

Solar锐评：你的IT/OT隔离，是否只隔了一层窗户纸？

许多制造企业都声称做了IT/OT隔离，但实战中往往不堪一击。“双网卡服务器”、“运维跳板机”、“文件共享” 这些模糊地带，常常成为攻击者跨网渗透的桥梁。

此次事件再次证明，没有严格访问控制和持续监控的隔离，只是纸上谈兵。当攻击者从IT网轻松拿到OT网络的通行证时，物理世界的生产线停摆就已注定。

企业反思：

我们的IT和OT网络之间是否存在必须的数据交换点？
这些交换点（如文件服务器、数据采集服务器）是否部署了严格的访问控制和安全审计？
我们是否清楚一个IT系统的漏洞（如防火墙）可能导致生产线停摆的风险？

四、10月全球重点威胁情报

本月，全球范围内的供应链安全和关键基础设施安全事件频发，值得高度关注。

1.F5遭国家级黑客入侵：源代码与未公开漏洞被窃

事件：10月15日，应用交付与安全巨头 F5 公司披露，其系统遭到国家级黑客入侵，攻击者在其内部潜伏多日（8月9日首次发现），并成功窃取了其核心产品 BIG-IP 的部分源代码、未公开的漏洞研究信息 以及少量客户配置数据。

F5确认遭国家级黑客入侵：核心源代码与“攻击蓝图”失窃

影响：此次攻击的破坏性不在于直接的经济损失，而在于“攻击蓝图”的失窃。攻击者掌握了F5的源代码和未公开漏洞，意味着他们未来可能更容易地发现新的0day漏洞，或赶在官方补丁发布前利用这些已知漏洞，对全球数万家使用F5设备的企业和政府机构发起精准打击。

响应：美国网络安全与基础设施安全局（CISA）立即发布紧急指令（ED 26-01），要求联邦机构立即排查F5设备暴露面并应用更新。F5公司也紧急发布了安全补丁，并为客户提供了免费的EDR服务

F5向SEC提交的8-K文件首页截图

2.Salesforce生态遭勒索：黑客利用“社工”攻击其客户

事件：10月初，一个关联到 Scattered Spider 和 ShinyHunters 的勒索团伙建立了一个泄露网站，公开勒索 Salesforce 的39家客户，名单中包括联邦快递（FedEx）、迪士尼（Disney）、谷歌（Google）、宜家（IKEA）等知名企业。

攻击手法：Salesforce 平台本身并未被攻破。攻击者采用的是高明的社会工程学手段，特别是语音钓鱼（Vishing） 。他们冒充IT支持人员，诱骗受害企业员工泄露凭证或授权恶意的 OAuth 应用程序，从而窃取了企业在Salesforce实例中的客户数据。

警示：这起事件是典型的“生态安全”风险。SaaS平台（如Salesforce）自身的安全固然重要，但围绕其生态（客户、第三方应用）的身份认证和员工安全意识，正成为新的薄弱环节。

图片来源：Foundry / John E. Dunn

3.航空业成重灾区：都柏林机场150万乘客记录疑遭泄露

事件：10月26日，Everest 勒索软件组织声称已攻陷爱尔兰都柏林机场（Dublin Airport），并窃取了高达 150万条 乘客的详细数据。

泄露内容：据称，泄露的数据极其敏感，包括乘客全名、航班号、座位号、出发及目的地、常旅客信息、行李牌号，甚至用于值机的设备ID等。同时，该团伙还声称窃取了阿拉伯航空（Air Arabia） 超过1.8万名员工的信息。

警示：航空业作为关键基础设施，掌握着海量的敏感个人信息（PII）。此次事件（以及9月份的Collins Aerospace事件）表明，攻击者正持续瞄准航空业及其供应链，任何环节的失守都可能导致灾难性的数据泄露。

素材来源：安全圈

4.工业供应链再受创：Anubis勒索团伙攻击澳洲液压供应商

事件：10月16日，新兴的 Anubis 勒索团伙宣布攻击了澳大利亚液压供应商 Aussie Fluid Power (AFP)

泄露内容：AFP 随后确认了事件，承认攻击导致 员工、客户和供应商 的信息被泄露。Anubis团伙在其泄露网站上详细描述了窃取的数据，并冒充记者联系媒体以扩大事件影响，进行施压。

警示：这起事件再次印证了针对B2B工业制造商和供应商的攻击趋势。对于这类企业，客户和供应商的合同、图纸、价格等信息是其核心商业机密，一旦泄露，对供应链信任的打击是巨大的。

员工、客户、供应商数据全泄！澳洲液压供应商AFP遭Anubis勒索

Anubis勒索软件泄露数据

Solar安全洞察与建议

10月的安全态势给我们带来了两个深刻的警示：

1.默认配置就是高危漏洞：Mallox对虚拟化平台的攻击提醒我们，企业必须立即摒弃“不出事就不管”的运维思路。对公网暴露面（特别是管理后台）的收敛、默认口令的修改、MFA的部署，是成本最低、也最紧急的安全措施。

2.供应链已成为连环雷：从F5、Salesforce到Aussie Fluid Power，本月重大事件几乎全部与供应链相关。企业的安全边界早已超出了自己的防火墙，必须将供应商的安全能力、第三方应用的权限、员工作为合作伙伴员工的身份安全，纳入统一的风险管理框架。

单纯的数据恢复只是治标，找到并封堵入侵入口、建立持续的安全运营和演练机制才是治本。

我们已为大量客户提供了专业的防勒索模拟演练服务。在真实模拟的攻击流程中，我们能有效帮助客户发现在真实攻击中可能被利用的（包括默认口令、供应链薄弱点、IT/OT隔离缺陷等）安全隐患，检验并优化应急响应流程。我们过去的成功案例已证明了这种方法的价值。

详见历史文章：

【实战】某海外能源巨头勒索模拟演练全流程复盘-上

【实战】某海外能源巨头勒索模拟演练全流程复盘-下

如您也需要相关的服务，欢迎联系我们咨询。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇【病毒分析】Babyk加密器分析-NAS篇【病毒分析】Babyk加密器分析-EXSI篇【病毒分析】Babuk家族babyk勒索病毒分析【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目【病毒分析】phobos家族faust变种加密器分析【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密）【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密）【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告【病毒分析】Mallox勒索家族新版本：加密算法全面解析【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目【病毒分析】mallox家族rmallox变种加密器分析报告【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar安全团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar安全团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 Solar安全团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec《Solar安全洞察 | 10月勒索态势月报：一个默认密码引发的系统雪崩》