问题——勒索活动呈现“家族增多、手法升级、目标外溢”的新态势。 从全球监测情况看,2026年2月勒索软件生态继续扩张,新增双重勒索家族包括Reynolds、Payload、Cipherforce、ShadowByt3$等,传统勒索家族也出现NopName、Внимание、Moniro、IronChain、EagleLocker等新成员。与以往相比,新出现的家族更强调“加密+窃取+胁迫曝光”的组合打法,勒索从“锁数据”向“掐命门”演变,尤其对掌握敏感数据与连续生产能力的政企单位构成更大威胁。 原因——传播格局重排背后,是攻击资源与入口手段的再配置。 传播量占比上,Wmansvcs家族以31.40%的占比首次领跑,Weaxor以16.28%位列第二,BeijingCrypt以13.95%位列第三。监测信息显示,Wmansvcs实现反超的关键于其补齐了远程桌面攻击资源,新增多个远程桌面攻击IP,改变了自2025年6月以来主要依赖单一IP发起攻击的模式。换言之,攻击者通过扩充基础设施、提高并发能力与规避封禁能力,直接推高了传播效率与命中概率。这也反映出勒索团伙在“低成本、高回报”的现实驱动下,更倾向于选择远程桌面、暴露服务口令等更易规模化复制的入口。 影响——操作系统“存量风险”仍是重灾区,NAS成为新的高频靶点。 从攻击目标看,Windows 10依然是勒索软件最主要的攻击对象,其后为Windows Server 2012与Windows 7。此结构说明:一上,终端数量庞大的通用系统仍是攻击首选;另一方面,部分机构服务器与历史系统上的升级节奏偏慢,叠加业务连续性要求高、停机代价大,导致“能用就不动”的存量系统长期暴露在风险之下。 从受攻击的系统类型分布看,桌面PC与服务器遭受攻击的数量近乎持平,意味着勒索攻击已从“端点渗透”向“端点与关键业务并行打击”推进,攻击者不再满足于单点敲诈,而是追求对业务链路的最大化挟持。值得关注的是,针对NAS平台的攻击行为当月明显抬头。NAS集中承载备份、文件共享与影像资料等关键数据,一旦被加密或被窃取,不仅影响恢复速度,还会削弱“离线备份/快速回滚”这道关键防线,深入放大勒索谈判的筹码。 对策——以“补漏洞、控入口、强备份、重演练”为抓手,提升政企韧性。 监测机构建议,政企单位应尽快完成系统版本更新与补丁修复,尤其要对已知高危漏洞建立“发现—评估—加固—验证”的闭环管理,避免成为勒索攻击的突破口。结合当月以远程桌面为代表的入口手段活跃,可重点从以下上提高防护效果:一是全面清点外网暴露资产,严格限制远程桌面等高风险服务的公网可达性,必要时采用专用通道与强身份认证;二是强化账号口令治理与访问控制,压实最小权限原则,降低横向移动空间;三是完善备份体系,推动关键数据“分层备份、异地备份、离线备份”,并定期验证可恢复性,防止备份与生产“同网同权”被一锅端;四是将数据泄露应对纳入处置预案,建立加密、脱敏、分级授权与审计机制,减少双重勒索下“泄密即二次伤害”的风险。 前景——双重与多重勒索或将继续扩张,风险焦点转向“数据外泄+业务中断”叠加。 随着双重及多重勒索模式加速普及,数据泄露风险被进一步推高。监测显示,当月全球新增受影响政企机构达714家。在主要勒索家族收益占比中,Qilin以14.99%居首,Thegentlemen以12.32%居次,Arika以6.58%位列第三。收益集中度的变化提示:头部团伙可能凭借更成熟的基础设施、谈判与洗钱链条进一步扩大优势,而中小团伙则通过快速更名、频繁迭代家族与转向细分目标维持生存。可以预期,未来一段时间勒索攻击将更强调“先渗透、再窃取、后加密、外加舆论施压”的链条化作业,受害单位面临的不仅是恢复成本,更是合规、声誉与供应链连带风险的叠加考验。
网络安全已成为关乎国家经济安全和社会稳定的重要基石。此次勒索软件攻击态势的变化再次敲响警钟:唯有保持技术警觉、强化协同治理,方能在与网络犯罪分子的较量中掌握主动权。预防永远胜过补救,主动防御才是应对新型网络威胁的根本之策。