根據 Check Point Research 最新報告,2025 年第三季共觀察到 85 個活躍的勒索軟體與勒索團體,創下歷史新高。這個數字反映勒索軟體生態系正經歷分散化趨勢。過去由少數勒索軟體即服務(RaaS)主導的集中式市場,如今已分裂成數十個規模較小、存續時間較短的獨立組織。
該季度共有 85 個外洩網站發布 1,590 名受害者資料,平均每月 535 件。值得注意的是,前十大團體僅佔所有受害者的 56%,較今年稍早的 71% 明顯下降。許多小型攻擊者發布的受害者數量不到 10 個,顯示傳統 RaaS 架構之外的獨立作業正在增加。
執法行動效果有限
今年針對 RansomHub 和 8Base 等團體的多起高調執法行動,並未有效降低勒索軟體的整體活動量。問題核心在於結構性因素:執法單位通常只能拆除基礎設施或查封網域,無法真正打擊執行攻擊的附屬組織成員。當一個平台倒下,這些攻擊者只需數日就能分散並重新集結,形成更廣泛、更具韌性的生態系統。
這種分散化也削弱了勒索軟體市場的可信度。規模較小、存續時間短的團體缺乏誘因履行贖金協議或提供解密金鑰。受害者對攻擊者承諾的信任度下降,付款率因此持續降至僅 25% 到 40%。
LockBit 5.0強勢回歸
2025年9月,LockBit 5.0 強勢回歸,標誌著這個網路犯罪界最持久品牌的復出。管理者 LockBitSupp 在2024年 Operation Cronos 行動中遭到打擊,經過數月醞釀後推出新版本。LockBit 5.0 提供更新的 Windows、Linux 和 ESXi 變種,具備更快的加密速度、改良的規避能力,並為每個受害者提供獨特的協商入口。
延伸閱讀:LockBit 5.0勒索軟體現身 跨平台攻擊能力再升級
首月至少有十多名受害者遭到攻擊,顯示附屬組織重拾信心,技術也更加成熟。對攻擊者而言,加入 LockBit 這類知名品牌能獲得小型團體無法提供的關鍵優勢:聲譽。受害者相信大型 RaaS 計畫會謹慎維護信用、確實提供解密金鑰,因此更願意支付贖金。
若 LockBit 成功吸引尋求穩定架構與信譽的附屬組織,可能重新整合勒索軟體經濟的重要版圖。集中化帶來雙面效應:一方面讓追蹤工作更為容易,另一方面也放大了協同攻擊的潛在規模。
DragonForce 的品牌策略
DragonForce 展示了另一種生存策略:透過品牌建立能見度。該團體於 9 月在地下論壇公開宣稱與 LockBit 和 Qilin 結盟。儘管尚未驗證共享基礎設施,這些聯盟更具象徵意義而非實際運作。這些行動凸顯勒索軟體正朝企業式行銷演進。DragonForce 透過附屬組織合作公告、資料稽核服務和公關活動來展現實力與可靠性。
延伸閱讀:勒索軟體「卡特爾聯盟」成形 朝日啤酒遭攻擊損失恐達 3.35 億美元
地理與產業趨勢
2025年第三季的全球攻擊目標大致延續先前趨勢,但出現明顯的區域與產業變化:
- 美國約佔所有受害者的一半,持續成為財務導向攻擊者的首要目標。
- 南韓首次進入全球前十,主要因為 Qilin 針對金融機構的集中攻擊。
- 歐洲仍維持高度活躍,德國和英國持續面臨 Safepay 和 INC Ransom 的壓力。
產業方面:
- 製造業和商業服務各佔約 10% 的案例。
- 醫療保健業維持在 8%,儘管 Play 等團體為減少關注而刻意避開該產業。
這些轉變顯示勒索軟體更多是由商業邏輯而非意識形態驅動。攻擊者鎖定擁有高價值資料且無法容忍停機的產業和地區。
未來展望與防護建議
2025年第三季確認了勒索軟體的結構性韌性。執法和市場壓力無法抑制整體活動量,只能重塑生態樣貌。每次打擊行動都使攻擊者分散,但他們很快就以新名義重新出現,或加入新興團體。LockBit 的回歸增添了另一層複雜性:勒索軟體是否正進入新一輪整合週期?
對資安專業人員而言,追蹤特定勒索軟體品牌已不足夠,分析師必須監控附屬組織的變化、注意基礎設施的重疊使用,並理解經濟誘因才是勒索軟體即使面臨破碎化,仍能持續存在的根本力量。
本文轉載自 TheHackerNews。