勒索软件监测分析日报
🔍 关键洞察
📅 2026年2月25日勒索软件事件分析:
当日勒索组织活跃情况较前一年同日(2025年约13起)显著上升,总事件达42起,显示活跃度增长约3倍,主要因The Gentleman和Vect等新兴RaaS团体的扩张;勒索事件整体增长明显,聚焦数据外渗而非纯加密,反映双重勒索趋势加强;被勒索行业主要分布在制造业(约10起)和医疗保健(约8起),较以往金融/教育占比上升,变化体现攻击者转向高价值数据目标;事件影响程度中等偏高,无大规模政府/国防直接打击,但Clalit和Triumph Group等大事件凸显供应链和医疗风险,可能导致连锁效应和经济损失加大。
📋 勒索软件事件分析
当日总事件约42起。以下表格列出主要确认的已知事件。
| 被勒索企业名称(中英文) | 国家 | 行业 | 勒索组织名 |
|---|---|---|---|
| MARTEC MARINE S.P.A (马泰克海洋股份有限公司) | 意大利 | 海洋/制造/国防相关 | Tengu |
| Al Arif Contracting Co. (L.L.C) (阿拉里夫承包公司) | 阿联酋 | 建筑/承包 | Tengu |
| Del Rey (德尔雷) | 巴西 | 商业/未知 | Vect |
| Sus Insumos S.A.S (苏斯供应公司) | 哥伦比亚 | 供应/制造 | Vect |
| AMEVIDA (阿梅维达) | 德国 | 服务/IT | Medusa |
| ToolpartsPro (工具零件专业) | 美国 | 咨询/工具/制造 | Medusa |
| Chartre Consulting (夏特咨询) | 美国 | 咨询 | Medusa |
| Clalit (克拉利特,以色列最大医疗保健组织) | 以色列 | 医疗保健 | Handala |
| Birmingham Museum of Art (伯明翰艺术博物馆) | 美国 | 艺术/文化 | Termite |
| Zaner Group (扎纳集团) | 美国 | 金融/商品交易 | Everest |
| Tricolor Holdings (三色控股) | 美国 | 金融/汽车金融 | 未知(数据泄露) |
| Nathalin Group (纳塔林集团) | 泰国 | 能源/航运 | 未知 |
| Boutique Harley-Davidson (哈雷戴维森精品店) | 法国/加拿大 | 零售/摩托车 | 未知 |
| 111 (匿名或代号受害者) | 未知 | 未知 | Everest |
| AAG Construction (AAG建筑) | 未知 | 建筑 | 未知 |
| Silvestres (西尔维斯特雷斯) | 西班牙语区 | 未知 | 未知 |
| Xepa Soul (泽帕灵魂) | 新加坡 | 制药/医疗 | 未知 |
| Health Research Board (爱尔兰健康研究委员会) | 爱尔兰 | 健康研究/政府相关 | 未知(网络攻击) |
| Triumph Group (凯旋集团) | 美国 | 航空/国防部件 | CoinbaseCartel |
⚙️ 活跃勒索组织分析
当日活跃组织11个。以下表格列出组织、当日事件数量及常用攻击技术(基于公开情报)。
| 勒索组织名称 | 当日发布勒索事件数量 | 该组织常用攻击技术 |
|---|---|---|
| The Gentleman | 15 | 利用弱凭证/暴露面板初入;BYOVD漏洞驱动程序禁用EDR;GPO操纵持久化;X25519/XChaCha20加密 |
| Vect | 10 | 社会工程/钓鱼;凭证填充/暴力破解;数据外渗前加密;MITM拦截 |
| Termite | 4 | 影子拷贝删除(VSS);服务停止(备份/安全);进程终止(虚拟磁盘/数据库);文件枚举加密 |
| CoinbaseCartel | 3 | 暴露凭证/硬编码密钥;OAuth令牌滥用;数据外渗+分阶段泄露;内部威胁众包 |
| DragonForce | 2 | 凭证钓鱼/ RDP滥用;LOTL工具(Schtasks/Taskkill);多变载荷(LockBit/Conti变体);BYOVD禁用防御 |
| Gunra | 2 | 钓鱼附件/链接;反调试(IsDebuggerPresent);进程注入/特权升级;影子拷贝删除(WMI) |
| NightSpire | 2 | 公共漏洞利用(如CVE-2024-55591 FortiOS);合法工具(WinSCP/MEGACmd)外渗;PowerShell/PsExec横移 |
| Handala | 1 | 钓鱼/短信钓鱼;自定义擦除器(wiper);数据窃取/勒索;网站篡改 |
| Insomnia | 1 | 凭证窃取/暗网购买;WSUS更新管道注入;合法软件武器化;长期潜伏数据窃取 |
| Kill Security | 1 | 初始访问(如凭证滥用/漏洞利用);影子拷贝删除;进程终止;常见TTPs如PowerShell执行 |
| Tengu | 2 | 钓鱼/凭证滥用;横移/特权升级;数据外渗+加密;LOLBins(如PowerShell/cmd.exe) |
🚨 本日大事件
1. 以色列最大医疗保健组织Clalit(克拉利特) 医疗
作为服务数百万患者的全国性机构,在2026年2月25日遭受Handala组织的攻击,该组织窃取并威胁泄露患者数据,导致潜在的医疗系统中断和隐私大规模泄露,影响国家医疗安全。
2. 美国航空与国防部件制造商Triumph Group(凯旋集团) 国防/航空
一家市值数百亿美元的全球知名企业,于当日被CoinbaseCartel攻击,涉及员工和供应链数据外渗,可能引发国防供应链中断和敏感技术泄露。
3. 美国伯明翰艺术博物馆Birmingham Museum of Art 文化
作为知名文化机构,在Termite的攻击下暴露金融、员工和捐赠者数据,潜在影响文化遗产保护和公众信任。
4. 爱尔兰健康研究委员会Health Research Board(健康研究委员会) 政府/研究
一家政府下属机构负责每年5000万欧元研究资金分配,被未知威胁者网络攻击,造成员工系统锁定和运营中断,可能延误医疗研究项目并影响国家健康政策。