近日，360数字安全集团以全年监测、分析与处置的勒索软件事件为基础，结合国内外相关一线数据和新闻报道进行研判、梳理与汇总，重磅发布《2024年勒索软件流行态势报告》（以下简称“报告”），全面展现勒索软件的传播与演化趋势，深入推演未来发展风向，助力政企机构数字安全的体系化建设，以高效抵御勒索风险。

Web漏洞成勒索软件“新宠”

多重勒索模式致数据泄露风险激增

报告指出，2024年虽未出现单一勒索家族在短时间内的大规模爆发性攻击事件，但勒索软件仍是当前政企机构面临的头号安全风险。360基于安全大模型赋能，全年共处理超过2151例勒索攻击求助，发现77个新勒索家族，拦截43.1亿次网络暴破攻击，保护近270万台设备免遭入侵，协助约3996台设备完成勒索解密。

从勒索软件家族分布上看，传统家族技术与传播手段更迭迅速，新兴家族势头强劲，持续带来严重安全风险。其中，TargetCompany (Mallox)家族通过引入新的传播手段，成功跃升为年度传播量最广泛的勒索软件家族；Makop和Phobos两大老牌家族凭借其稳定的技术与渠道优势，分列年度榜单二三位置，三大勒索家族族的反馈占比近六成。RNTC和Anony等新兴家族，则以创新的攻击手段迅速崭露头角，首次出现即进入年度Top10榜单。

从传播方式上看，远程桌面入侵仍是导致用户中招勒索软件的主要途径；而利用漏洞对目标网络实现入侵的占比同比往年增长迅猛，与远程桌面入侵相差无几。其中，Web漏洞成为众多勒索软件家族的“新宠”，这也导致许多依赖Web服务的企业OA系统、财务软件和管理软件成为政企单位遭受勒索攻击的主要入口。

近年来，双重勒索或多重勒索模式风靡，勒索软件所带来的数据泄露风险也越来越大。2024 年参与双重/多重勒索活动的主要活跃勒索软件家族共计94个，家族总量与2023年相比有显著增加。

此外，360对全年勒索软件赎金进行跟踪发现，勒索软件攻击的规模和赎金要求达到了前所未有的水平，多家勒索软件家族在成功攻击后开出了超过千万美元的赎金。其中，Dark Angels家族向美国知名药品公司Cencora提出了7500万美元赎金诉求，并最终勒索成功，这可能是目前全球最大的一笔勒索软件成交案例。这表明勒索软件团伙的攻击目标更具针对性，赎金金额也愈发惊人。

Win10系统受灾严重

桌面PC成主要受害系统类型

360对2024年遭受勒索软件攻击的受害者人群进行分析发现，广东、山东、江苏等数字经济发达和人口密集地区仍是攻击的主要对象。

互联网及软件、制造业、批发零售是国内勒索软件攻击的主要目标，而金融行业所面临的威胁也有显著提升，已紧随其后位于榜单的第四名。

受攻击系统分布上，位居前三的系统为Windows 10、Windows Server 2008 和 Windows Server 2012。其中，Windows 10系统占比增长明显，这可能与该系统巨大的装机量，以及承载着大多中小企业的管理系统部署关联紧密。

从操作系统类型的角度看，受到Web漏洞入侵手段增加和Windows 10占比激增的双重影响，桌面PC的占比出现大幅提高。因此，针对政企目标的攻击依旧是勒索软件演变的发展趋势。

受到2024年勒索攻击的受害者身份及攻击者入侵手段的双重影响，办公文档和数据库数据依然分列受害者最“在乎”的被加密数据类型排名前两位，这一情况与2023年基本相同。

AI技术普及带来巨大变革

创新是抵御勒索风险的关键方法

基于2024年中勒索软件的传播与演化趋势，报告进一步指出了未来勒索软件的发展方向，以及防御策略。

一是AI技术的普及将为勒索攻击与安全防护带来巨大变革。一方面，黑客和攻击者已经在借助AI发起更加高效、复杂、隐蔽的网络攻击，勒索病毒自动化能力大幅提升，便是AI应用在网络攻击中的一个重要体现。另一方面，借助AI技术可以训练安全大模型，实现在离线环境中执行高效的安全分析和攻击识别，不再依赖于实时更新的情报资源；同时，AI技术在安全领域的应用可以使复杂的任务能够被自动化处理，大幅降低了政企机构安全运维的难度，这目前这一方案已经开始在360安全产品中验证并使用。

二是专业化、规模化、系统化的勒索软件攻击让中小企业面临的威胁加剧。解决这一问题的关键在于加强安全管理，但对于资源有限的中小企业而言，服务器的安全运维是一个亟待解决的现实问题。为应对这一挑战，中小企业可以考虑采用第三方托管服务（SaaS解决方案），提升其安全运维能力。通过与经验丰富的安全团队合作，企业可以更高效地识别、响应并防御安全威胁，从而以较低成本增强安全防护水平。

三是在与勒索软件攻击的对抗过程中，创新始终是打破平衡，实现突破的关键方法。作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360推出基于安全大模型赋能的勒索病毒防护解决方案，能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，实现多方位、全流程、体系化、智能化的勒索防护。

• 让病毒进不来：在终端、流量侧部署360探针产品，通过互联网入口检测阻断等主动防御功能，能够在病毒落地时进行查杀拦截；
• 让病毒散不开：由360安全大模型支撑，对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；
• 让病毒难加密：通过终端安全探针结合云端情报赋能，利用安全大模型的溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；
• 加密后易恢复：该方案内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，能够实现加密后的全方位恢复工作。

目前，360勒索病毒防护解决方案针对不同客户体量与需求推出多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。其中，基于全网安全大数据视野，360为监管、政企机构打造的勒索预警订阅服务，全年共计捕获勒索攻击事件线索5863起，涉及受害单位2148家，确认勒索病毒家族59个，攻击IP来源地涉及境外54个国家或地区，配合监管输出勒索攻击事件线索658起，覆盖全国多个地区，帮助广大政企单位构建多层次纵深防御能力，实现多方位、全流程、体系化的勒索防护。