2025年十大最危险勒索软件

尽管 2024 年勒索赎金大幅回落，但 2025 年前两个月勒索软件活动显著反弹。三大勒索软件组织中，BlackLock 在 2024 年第四季度数据泄露帖子增长 1425%，有望成 2025 年最活跃组织。RansomHub 在 2024 年攻击 531 次，受害者超 210 个。LockBit 虽在 2024 年受执法打击，2025 年仍强劲反弹。

此外，阿基拉（Akira）、美杜莎（Medusa）、黑巴斯塔（Black Basta）、奇林（Qilin）、芬克塞克（Funksec）、克洛普（Cl0p）和林克斯（Lynx）等多个勒索软件组织在 2024 年和 2025 年初也处于活跃期。

2025勒索软件主要趋势与技术

2025 年勒索软件重点采用双重勒索（加密与数据泄露威胁）及 RaaS 模型，降低犯罪技术门槛。AI 在勒索软件技术中的应用成重要趋势，Funksec 或是首个用 AI 开发的流行勒索软件。同时，防御者也利用AI增强威胁检测和响应能力，这场攻防战的核心是网络安全实践的持续创新。

以下是通过活跃度、赎金金额、受害者数量、高调攻击、技术复杂度等评价指标，基于公开威胁情报数据评选出的2025年最危险的十大勒索软件：

01BlackLock

历史与活动：自2024年3月以来，2024年Q4数据泄露帖子增长1425%，成为第七活跃组。ReliaQuest预测2025年可能超过赎金中心，成为最活跃的RaaS组织

运作方式：开发自定义恶意软件，目标Windows、VMware ESXi和Linux环境，采用双重勒索策略

目标受害者：2024年目标美国房地产、制造和医疗组织，地理范围广泛

2025年预测：在RAMP论坛上活动量是赎金中心的9倍，预计继续快速增长

02RansomHub

历史与活动：2024年2月出现，迅速成为主要威胁，2024年攻击531次

运作方式：通过合法管理工具部署加密工具，采用“亲和力”RaaS模型，允许附属机构直接收取赎金

目标受害者：210多个受害者，涉及医疗、金融、政府服务和关键基础设施

2025年预测：尽管黑锁可能超过，但仍保持高活跃度

03LockBit

历史与活动：2024年受到执法行动影响，但显示复苏迹象，仍然活跃

运作方式：采用RaaS模型和双重勒索，加密效率高

目标受害者：2024年目标政府服务、私营公司和关键基础设施

2025年预测：尽管受打击，但仍保持一定活跃度

04Akira

历史与活动：2023年初出现，持续活跃，2025年1月受害者达72个

运作方式：利用企业VPN设备缺乏认证和泄露的凭据攻击系统

目标受害者：北美、欧洲和澳大利亚的中小型企业，涉及制造、教育等行业

2025年预测：继续针对关键行业

05Medusa

历史与活动：2022年出现，2024年保持活跃

运作方式：通过漏洞利用、钓鱼邮件或初始访问经纪人入侵系统

目标受害者：美国、欧洲和印度的医疗、教育、制造和零售组织

2025年预测：继续扩展目标行业

06Black Basta

历史与活动：2022年初出现，2024年影响500多个组织

运作方式：利用已知漏洞和社会工程，邮件轰炸员工

目标受害者：全球组织，涉及多个行业

2025年预测：可能解散，但目前仍具威胁

07Qilin

历史与活动：2022年5月以来活跃，2024年排名第四

运作方式：目标Windows和Linux系统，采用双重勒索

目标受害者：通过地下论坛招募附属机构，禁止攻击独联体国家

2025年预测：继续扩展影响

08Funksec

历史与活动：2024年晚期出现，12月声称85个受害者

运作方式：可能使用AI开发恶意软件，采用双重勒索，勒索金额低

目标受害者：主要在美国、印度、意大利等，部分数据泄露可疑

2025年预测：新组可能增强能力，成为主导玩家

09Cl0p

历史与活动：2019年以来活跃，2023年MOVEit漏洞利用影响数千组织

运作方式：利用零日漏洞，依赖数据泄露网站勒索

目标受害者：全球主要组织，涉及关键行业

2025年预测：继续利用漏洞，保持威胁

10Lynx

历史与活动：2024年7月以来活跃，2024年声称70多个受害者

运作方式：RaaS模型，双重勒索，目标金融和能源行业

目标受害者：美国和英国的零售、房地产等行业

2025年预测：继续扩展目标行业