文章总结： 2025年勒索软件攻击激增，10月较9月增长30%，近50%波及关键基础设施。本文分析五大案例：玛莎百货损失3亿英镑利润、DaVita泄露270万人数据、内华达州系统瘫痪致150万美元恢复成本、纳斯卡遭400万美元勒索、Oracle套件零日漏洞影响多家巨头。文章提出2026年防护五大措施：定期桌面演练、不可篡改备份、网络微隔离与身份管理、关键应用补丁治理、预制危机公关手册，强调勒索软件已从技术威胁演变为董事会层面的财务与声誉危机。 综合评分： 78 文章分类： 勒索软件,应急响应,安全建设,漏洞分析,数据安全

2025年五大勒索软件攻击：最严重后果与最深刻教训

原创

cyber management cyber management

安全行者老霍

2026年2月7日 09:00 北京

日期：2025年12月29日

写在前面：本文介绍多起重要的勒索事件，更重要的是介绍了减轻手段，尤其是桌面演练，预备多种响应模板，详尽的危机公关手册，我了解到国内有团队在做这方面的工作，做好了还是大有可为。

2025年的勒索软件在各行业和国家肆虐蔓延，其攻击手段已超越“加密然后勒索”的初始形态。本年多起重大事件中，入侵与数据窃取及赎金勒索相互交织。在若干案例中，对企业的实际冲击远超公开披露的赎金要求。部分攻击直接威胁关键基础设施和人类生命安全，更有甚者将儿童个人信息纳入攻击目标。

仅2025年10月，勒索软件攻击量较9月激增30%，彰显全球网络安全领域最大祸患的指数级增长。据KELA报告显示，本年近50%的勒索软件波及制造业、能源、医疗和交通等关键领域，其中多起事件直接威胁国家安全。

Qilin作为本年破坏力最强的勒索软件团伙之一，在医疗、制造和金融领域造成重大损失。Akira、RansomHub和Cl0p紧随其后，通过利用漏洞发动大规模攻击，并利用零日漏洞实施大规模数据窃取。

以下是2025年最具影响力的五起勒索软件事件。我们综合考量了破坏规模、受害者特征及下游损害程度等指标进行筛选。

若您认为我们遗漏了符合以下强度或受害者特征的案例，请致信[email protected]告知我们。

2025年最重大的勒索软件攻击有哪些？

1. 马莎百货（Marks&Spence）：高知名度受害者，高破坏性中断

2025年4月，玛莎百货（M&S）遭遇重大勒索软件网络攻击，核心运营与客户服务中断数周。据称由“Scattered Spider（散落蜘蛛）”黑客组织实施的攻击，使用了DragonForce勒索软件，其商业影响之深远不言而喻。

玛莎百货公开估算，此次事件及其恢复工作导致约3亿英镑的营业利润损失。此次攻击不仅损害了标志性品牌形象，更成为随后席卷英国零售业的网络围城战的象征。它以最震撼的方式揭示了勒索软件如何演变为关乎董事会层面的财务危机与声誉危机。

欲了解此次毁灭性攻击的详细经过，请下载我们编制的《玛莎百货网络攻击事件时间线》。您还可深入查阅我们整理的《英国零售业攻击事件全景时间线》。

2. DaVita：危及患者核心服务的攻击

医疗勒索软件始终具有特殊的高风险性，因为系统停机可能直接影响患者护理。2025年4月，透析服务提供商DaVita披露遭遇勒索软件攻击，其部分网络被加密导致特定业务中断。

调查进展显示，该事件影响数百万民众，其中约270万人的敏感个人数据遭泄露。此次攻击凸显了现代勒索软件的“双重打击”：既造成运营中断，又导致数据暴露。

该事件再次证明，医疗领域必须具备韧性——快速响应能力与预防措施同等重要。

3. 内华达州系统：现实世界服务冲击

内华达州政府系统遭遇重大勒索软件攻击（2025年8月发现），导致驾照发放、背景调查等公共服务中断。事后报告显示恢复成本至少达150万美元。

此案例揭示勒索软件对政府机构危害深重的根源：陈旧系统、庞杂的供应商及碎片化的安全责任制，使单点入侵便能引发全州范围的瘫痪。

该事件因其巨大的公众影响而跻身2025年最大规模攻击事件之列。它同时揭示了公共部门遭遇勒索软件攻击绝非单纯的“网络事件”，而是服务连续性危机。更强大的检测能力和集中化的事件协调机制正日益显得至关重要。然而最关键的仍是通过定期开展网络桌面演练来强化决策流程，从而缩短恢复时间。

4. 纳斯卡：数据窃取与公开勒索

2025年，顶级房车赛事组织NASCAR（纳斯卡）遭遇勒索软件攻击。Medusa（梅杜莎）勒索软件团伙宣称窃取了该公司1TB数据，并在暗网泄露平台公开索要400万美元赎金。

纳斯卡后续证实此次攻击确实导致“未知数量”的个人数据被窃，且攻击者成功窃取了包含姓名、社会保障号码等个人信息的文件。

此事件再次印证：勒索软件也许不会导致核心业务瘫痪，却会给组织带来大量衍生问题——从通知义务、信用监控到品牌声誉损害。

我们认为此次攻击具有重大意义，因为受害者具有高度知名度且拥有庞大受众群体。公开且明确的赎金要求也使该事件成为焦点。这同时凸显了一个令人担忧的趋势——勒索软件团伙正日益像媒体机构般运作。他们如今积极利用泄密网站、公布最后期限并制造声誉压力。在应对此类攻击时，除技术事件响应手册外，优化的危机沟通协议和法律工作流程至关重要。

5. Oracle E-Business Suite：无传统加密功能的勒索软件

2025年最重要趋势之一，是针对广泛使用的企业平台的大规模攻击。谷歌威胁情报报告披露了代号“CL0P”的大规模勒索行动，该行动利用甲骨文E-Business Suite的零日漏洞展开。此类攻击呈现典型模式：广泛植入漏洞、窃取数据，再同时向众多受害者施压。其重要性在于颠覆了勒索软件的经济逻辑，攻击者无需对每个网络实施加密，只要能可靠窃取敏感数据并大规模勒索即可获利。

此次攻击之所以成为头条新闻，是因为其巨大的破坏范围。不同行业的组织都受到了影响。据报道，受影响的组织包括施耐德电气和艾默生等工业巨头、罗技等科技制造商、哈佛大学和南非威特沃特斯兰德大学、美国航空子公司Envoy Air，甚至还有《华盛顿邮报》。

此次勒索软件事件揭示了工业化勒索模式的发展趋势，其核心特征在于可重复性和可扩展性。此类攻击行动更像是平台漏洞利用与勒索行为的结合体，而非针对单一受害者的孤立事件。

该攻击再次印证：企业网络韧性不仅取决于自身终端防护，更危如累卵地依赖于第三方系统与企业应用程序的暴露程度。

2026年如何减轻勒索软件损害？

上述五大勒索软件攻击案例仅是冰山一角。2025年勒索软件造成的破坏史无前例。警钟已然敲响，勒索软件黑客不会消失，他们只会随着时间推移变得更加强大、更具破坏性。

为保护您的企业、数据及声誉，当前唯一的解决方案是建立强大的勒索软件预防与应对策略。除强化安全基础设施，尤其关注第三方安全外，您还需完善应急响应机制。在2026年，建立完善的勒索软件应急响应过程已成为不言而喻的必要条件。

这些过程必须通过专业组织的勒索软件桌面演练进行定期演习。高管及业务负责人必须参与这些桌面演练，以便预演决策流程，并预先明确关键问题的处理方案，例如由谁与攻击者谈判，或组织是否同意支付赎金（尽管我们绝不建议采取此举）。

我们认为，2026年所有组织为防范勒索软件犯罪必须尽早采取的核心措施如下：

1. 预演事件响应计划与勒索软件应对方案

勒索软件事件不再需要数日才能发酵，其升级速度往往以分钟或小时计。任何组织都承受不起决策混乱或事件升级路径不明的代价，攻击过程中的任何混乱都将直接导致更广泛的数据加密与窃取。

无论你认为自身安全架构多么坚固，都必须为2026年不可避免的威胁做好准备。一套经过充分演练的强力网络事件响应计划与勒索软件应对策略至关重要。当黑客破坏您的运营时，您绝不能在内部争论谁应隔离网络或谁可关闭关键平台，这些问题的答案必须预先明确，所有关键利益相关者都应知晓。

运用真实勒索软件场景开展高管桌面演练。双重勒索、云端锁定及身份劫持是2025年最常见的勒索手段，2026年所有企业都必须做好应对准备。为实现持续改进，每次演练后都应更新事件响应手册。

谨记恶意威胁行为者每时每刻都在升级手段，企业绝不能掉以轻心。

2. 不可篡改的、经过测试的备份

根据2025年的趋势，网络犯罪分子正日益将备份系统作为首要攻击目标。他们窃取凭证以在攻击初期删除或加密备份，随后等待数周才触发勒索软件。

若在压力状态下无法成功恢复，所谓的“成功备份”毫无意义。具备不可篡改性的备份才具有真正的韧性。关键在于建立离线或逻辑隔离的副本，同时必须部署备份完整性验证机制。这意味着必须确保数据可用且未遭损毁或缺失。

备份恢复测试才是真正的检验标准，恢复时间则是重要衡量指标。若计划宣称8小时恢复，测试却耗时3天，则该计划形同虚设，亟需紧急改进。

3. 网络隔离与身份强化

勒索软件正日益转向身份驱动模式。攻击者通过窃取身份凭证获取合法访问权限以规避检测，借助管理工具进行横向移动，而非采用恶意软件优先的攻击策略。

这使得网络隔离在2026年变得至关重要。企业必须立即采用微隔离技术，尤其要对核心资产实施安全防护。同时必须将用户网络与服务器网络隔离。

特权访问管理的重要性已达历史新高。2026年需通过时限访问和即时访问机制防范勒索软件攻击。即便攻击得逞，也能控制其破坏范围，避免加密在数小时内蔓延至整个企业。

4. 关键企业应用程序的补丁治理

2025年，勒索软件团伙大量利用已知漏洞（即使存在可用补丁）发起攻击。他们还利用SaaS配置错误和未打补丁的第三方应用程序来扩大攻击范围。当前当务之急是全面部署补丁。

建议采取基于风险的优先级策略：优先修复面向互联网的系统及遭积极利用的CVE漏洞。若无法立即打补丁，则需立即禁用存在漏洞的功能。可加强暴露系统的监控力度，并通过网络规则限制访问权限。

但需谨记：监管机构对补丁管理的关注度正持续提升。保险公司处理安全事件时首要追问的是——漏洞是否已修复？若未修复，原因何在？为保障企业运营、财务连续性及声誉，当遭遇勒索软件攻击时，您必须能对此给出确凿答复。

5. 危机公关手册

勒索软件既是技术危机，更是信任危机。遭遇攻击时若沟通不当，将加剧声誉损害。这会引发监管审查，并严重动摇客户信心。由此，危机公关在2025年成为焦点——这一趋势很可能延续至2026年及更远的未来。

要实现清晰传递信息、重建信心的高效危机沟通，必须预先制定完善的行动指南。其中应包含面向客户、监管机构、合作伙伴、供应商及媒体的预制模板。当攻击来袭时，现场难以确保信息传递的统一性与连贯性。预先设计并获批的模板能在混乱中发挥关键作用。

行动指南还需明确审批流程：谁负责信息签发、谁对接监管机构、谁进行公开发言。在桌面推演中测试这些流程至关重要。网络演习同样能帮助法律、公关、合规及高管团队形成协同，确保在高压环境下信息传递的一致性。

https://www.cm-alliance.com/cybersecurity-blog/top-5-ransomware-attacks-of-2025-biggest-fallouts-biggest-lessons

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 cyber management cyber management《2025年五大勒索软件攻击：最严重后果与最深刻教训》