据网络安全公司 ReliaQuest 最新分析显示，2025年第三季度与勒索软件和网络勒索相关的数据泄露网站数量创下历史新高。主要勒索组织之间的行为模式和联盟关系也发生了显著变化，表明整个勒索生态正在加速演变。

第三季度共发现 81个独立的数据泄露网站，为迄今最高纪录。勒索生态的持续碎片化，使攻击模式愈发难以预测。许多小型勒索团伙趁大型组织衰退之际迅速填补空白，不仅扩大了攻击范围，也开始波及一些过去很少受影响的行业和地区。

尽管相比上一季度，被公布在泄露网站上的受害组织数量总体持平，但勒索生态内部的变化仍十分明显。例如，泰国 的泄露案例激增了 69%，主要源于新兴团伙 “Devman2” 的活跃。泰国2025年数字经济规模预计将达1403亿美元，也因此成为这些扩张性威胁的新焦点之一。

报告指出，多家知名勒索组织正在进行战略调整。其中，活跃的英语系黑客组织 Scattered Spider 正开发其首个 勒索软件即服务（RaaS）平台 “ShinySp1d3r RaaS”。该平台融合了社会工程与加密破坏两种手段，使攻击同时具备数据窃取和加密勒索的双重威胁。

该组织通过Telegram声称，ShinySp1d3r RaaS将成为“有史以来最强的RaaS”。这标志着西方网络犯罪团伙的一次转变——过去他们多依赖与俄语黑客组织合作，如今正试图独立运作。一旦ShinySp1d3r正式上线，将成为首个由英语黑客主导的大型RaaS平台。

ReliaQuest指出：“尽管该组织部分成员已被捕，但由于其结构松散、成员流动性大，Scattered Spider仍可能持续运营与开发。许多成员都是在网络社区中被吸引而来的青少年。”

老牌勒索组织 LockBit 于9月重返暗网视野，推出了 “LockBit 5.0” 联盟计划。与以往不同，新计划允许攻击者针对此前“禁区”的行业——包括发电厂等关键基础设施。

这一声明是在该组织经历2024年初执法部门大规模打击之后发布的。LockBit在暗网上甚至宣称：“允许攻击核电站、火电厂、水电站及类似设施，除非FBI与我们达成不攻击协议。”

分析认为，这种扩大攻击授权的做法既是对执法压力的回应，也是一种有意升级。ReliaQuest警告称，一旦LockBit重新赢得加盟者信任，它可能再次成为全球最具威胁的勒索势力。

LockBit近期还与 DragonForce、Qilin 等RaaS组织结盟。分析师认为，这一联盟可能带来更频繁且更具破坏性的攻击。类似的合作在过去曾催生“双重勒索”策略——即同时加密系统并窃取数据，以加大受害者支付压力。

其中，Qilin 在2025年第三季度的数据泄露网站上创下新高，其背后是高度企业化的运营方式和激进的招募策略，包括在暗网论坛上投放广告。Qilin等组织的成功反映出勒索团伙的“商业化进化”：

“他们像企业一样运作，与‘初始访问经纪人’合作，快速获取VPN入口，实现更高效、更隐蔽的攻击。”

新兴勒索组织如 Beast、The Gentlemen、Cephalus 等推动了医疗机构攻击量上升 31%。  专业服务与科研行业攻击增加 17%，而制造业与建筑业则分别下降 5% 与 19%。这反映出攻击者正根据数据价值与防御薄弱程度，灵活选择目标。

此外，攻击版图正从欧美扩展至 泰国、埃及、哥伦比亚 等国。尽管如此，美国仍是最主要的攻击目标——原因在于赎金支付率高且网络保险普及。ReliaQuest指出：“黑客会分析被窃取的数据，包括保险条款，以便最大化勒索金额。而在俄罗斯等执法宽松地区，他们几乎不受追责。”

ReliaQuest特别提到新兴的 The Gentlemen 团伙。该组织于2025年9月出现，短短几周内就在泄露网站上列出 35名受害者。其RaaS分成比例高达 9:1（加盟者得90%），预计将在接下来几个季度迅速扩张。

ReliaQuest在报告结尾提出三项关键防御措施，以帮助组织提升网络韧性：

• 限制RDP与远程访问，防止外部入侵通道被滥用；

• 为公共应用及时打补丁，修复外网漏洞；

• 部署文件加密隔离措施，防止勒索病毒横向传播。

报告强调：“勒索软件仍是全球企业面临的首要威胁之一。要想有效防御，必须从最基本的安全卫生入手。”

总结：