FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

2025年第三季度，勒索软件领域经历了前所未有的动荡，网络威胁行为者开启了更具侵略性和复杂性的新时代。

勒索软件生态格局剧变

本季度出现两大标志性事件：Scattered Spider组织首次推出勒索软件即服务（RaaS）产品ShinySp1d3r RaaS，成为首个挑战俄语系主导地位的英语系大型勒索软件运营组织；同时臭名昭著的LockBit团伙高调宣布以LockBit 5.0版本回归，公然将关键基础设施列为合法攻击目标，突破了传统运营边界。

LockBit宣布回归并将关键基础设施列为攻击目标（来源：Reliaquest）

网络安全界面临数据泄露网站数量激增的严峻挑战，2025年第三季度活跃平台数量达到创纪录的81个，威胁态势呈现碎片化发展趋势。这种扩张反映出根本性转变——新兴小型组织填补了原有主导团伙留下的运营真空，将触角延伸至传统低风险行业和地区。ReliaQuest分析师认为本季度是重塑勒索软件运营模式的分水岭。

跨行业威胁升级

英语系网络犯罪分子进入RaaS市场，叠加LockBit对关键基础设施的激进立场，使得各行业机构面临更高风险。LockBit、DragonForce和Qilin等主要勒索团伙结成战略联盟，通过共享资源、技术和基础设施进一步放大威胁潜力。

泰国数据泄露网站出现次数激增69%，主要由新兴组织Devman2驱动，这种地域扩张生动体现了威胁碎片化趋势。网络犯罪分子正将目标转向数字化快速发展的经济体，利用现代化进程中基础设施的安全短板，突破传统西方目标局限，瞄准网络安全措施和执法能力薄弱地区。

ShinySp1d3r RaaS：技术架构与社会工程融合

Scattered Spider开发的ShinySp1d3r RaaS实现了该组织知名社会工程能力与高级加密机制的精妙融合。其服务架构将传统勒索软件部署与增强型数据外泄协议相结合，形成通过业务中断和信息杠杆双重施压的攻击模式。

技术实现上延续了该组织惯用攻击向量，特别是利用薄弱的服务台验证流程进行密码和多因素认证重置。其方法论包含完整侦察阶段：攻击者先通过开源情报收集和社交媒体画像获取目标组织详细信息，再联系服务台人员。

ReliaQuest研究人员指出，ShinySp1d3r RaaS采用高级持久化机制，即使在初始修复尝试后仍能保持网络访问。该恶意软件建立多个C2通信通道，使用加密隧道协议规避常规网络监控解决方案检测。

加密算法采用混合方案：对称密钥加密保障文件处理速度，非对称加密实现安全密钥管理。Telegram曝光的勒索信显示专业设计，既施加心理压力又提供明确支付指引，包含独特受害者标识符、按受害者生成的比特币钱包地址，以及随时间递增的支付方案。

技术分析表明该恶意软件执行选择性加密：针对关键文件扩展名，同时保留支付处理所需的系统功能。其差异化优势在于与现有数据窃取泄露业务（特别是ShinyHunters）的整合，可在加密部署前完成全面数据窃取。这种模式确保攻击者即使面对通过备份恢复数据的受害者，仍能通过长期数据曝光威胁维持勒索筹码。

Scattered Spider在Telegram暗示RaaS开发（来源：Reliaquest）

参考来源：

Data-Leak Sites Hit an All-Time High With New Scattered Spider RaaS and LockBit 5.0

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）