勒索软件监测分析日报
🔍 关键洞察
📅 2026年2月26日勒索软件事件分析:
当日勒索活动活跃度较高,总事件达20起,较典型单日明显增长,表明暗网泄露站点批量发布活跃,可能受RaaS团体(如TheGentlemen单日5+起)扩张驱动。TheGentlemen组织爆发式活跃(多国、多行业目标),显示其攻击链成熟且工具高效;Qilin和IncRansom也维持多起输出。被勒索行业分布广泛,包括教育(巴西大学)、航空(马来西亚国家航空)、工业地产(泰国)、医疗(美国诊所)、法律服务(美国律所)等,相比以往更偏向亚太和拉美地区多样化,中大型企业和关键基础设施(如航空、教育)占比上升,影响程度从中等偏高——航空/教育中断可能波及公众服务和国家层面,数据泄露规模大(部分涉及数百GB),预计引发监管罚款、声誉损害和恢复成本激增。整体趋势:勒索组织正加速针对高价值/中断效应强的目标,建议优先强化供应链漏洞管理和多因素认证。
📋 勒索软件事件分析
当日总事件约20起。以下表格列出主要确认的已知事件。
| 被勒索企业名称(中英文) | 国家 | 行业 | 勒索组织名 |
|---|---|---|---|
| Zabun | 土耳其 | 未指定 | TheGentlemen |
| Sando Tech | 美国 | 制造业/科技 | TheGentlemen |
| ACFA | 未指定 | 建筑材料 | TheGentlemen |
| Amata | 泰国 | 工业地产开发 | TheGentlemen |
| Universidade Federal de Sergipe (塞尔希培联邦大学) | 巴西 | 高等教育 | TheGentlemen |
| Evolutive Systems | 未指定 | IT/系统开发 | Qilin |
| Alpha Consult | 秘鲁 | 咨询服务 | Qilin |
| Malaysia Airlines (马来西亚航空) | 马来西亚 | 航空 | Qilin |
| ntic.com | 未指定 | IT/网络 | Chaos |
| Physicians Clinic of Iowa | 美国 | 医疗保健 | Anubis |
| Thrash Commercial Contractors | 美国 | 建筑承包 | Insomnia |
| WE Fitness | 泰国 | 健身/健康 | IncRansom |
| APRO Asian Protection Pte Ltd | 新加坡 | 安保服务 | IncRansom |
| JA AKITA KITA LIFE SERVICE, K.K | 日本 | 服务/生活 | IncRansom |
| Carlo J. Martina, P.C. | 美国 | 法律服务 | Pear |
| The Odom Firm | 美国 | 法律服务 | Pear |
| Salvatori Group of Companies | 意大利 | 企业集团 | DragonForce |
| thinlinetech.com | 美国 | 科技/薄线技术 | Abyss |
| Miles Partnership (milespartnership.com) | 美国 | 营销服务 | Chaos |
⚙️ 活跃勒索组织分析
当日活跃组织9个。以下表格列出组织、当日事件数量及常用攻击技术(基于公开情报)。
| 勒索组织名称 | 当日发布勒索事件数量 | 该组织常用攻击技术(基于已知情报) |
|---|---|---|
| TheGentlemen | 5+ | BYOVD(自带易受攻击驱动)、GPO域内部署、PowerShell禁用防护、X25519/XChaCha20加密、数据窃取双重勒索、互联网暴露服务漏洞利用。 |
| Qilin | 3 | Fortinet/Exchange漏洞、鱼叉钓鱼、Mimikatz凭证窃取、横向移动(PsExec)、RaaS模式数据窃取+加密。 |
| Chaos | 2 | 剪贴板劫持、破坏性加密(部分文件删除)、AES-256+ChaCha20、恶意执行、进程终止规避。 |
| Anubis | 2 | 鱼叉钓鱼、RDP利用、凭证窃取、文件擦除模式、ECIES加密+窃取。 |
| IncRansom | 3 | 鱼叉钓鱼、Citrix/Fortinet漏洞、Impacket横向移动、Mimikatz、窃取前加密。 |
| Insomnia | 1 | 典型RaaS:漏洞利用+凭证窃取+加密+泄露威胁。 |
| Pear | 2 | 中小型目标针对、数据窃取+加密、常见社会工程。 |
| DragonForce | 1 | 快速RaaS、漏洞初始访问、横向移动、勒索+泄露。 |
| Abyss | 1 | 新兴或变种、加密+窃取、针对科技公司。 |
🚨 本日大事件
1. 马来西亚航空(Malaysia Airlines) 航空/国家关键
马来西亚国家旗舰航空公司,总部位于吉隆坡,是寰宇一家联盟成员,运营广泛的国际航线网络,年客流量数千万。该公司在2026年2月26日被Qilin组织新增至泄露列表,表明系统遭入侵、数据窃取并加密,可能导致航班运营数据、乘客信息泄露,影响航空调度、客户信任,并引发监管审查和潜在数百万美元损失。
2. Universidade Federal de Sergipe(塞尔希培联邦大学) 高等教育
巴西重要的公立联邦大学,位于塞尔希培州,提供多学科高等教育和研究,服务数万学生和研究人员。该大学于2026年2月26日被TheGentlemen组织发布,学术系统、学生记录和研究数据遭加密与泄露威胁,严重中断教学、科研进程,可能导致政府教育资助受影响并引发数据隐私危机。
3. Amata(Amata Corporation) 工业地产/关键基础设施
泰国领先的工业地产开发商,运营多个工业园区,服务跨国制造业企业,是泰国经济关键基础设施部分。该公司同日被TheGentlemen攻击,工业园区管理系统和企业客户数据可能暴露,影响供应链、制造业运营,并对泰国工业投资环境造成负面冲击。