2024年，国家持续推进网络安全能力和体系建设，密集出台战略和法规，数字化转型、数据基础设施建设与跨境数据流动成为行业焦点。绿盟科技（300369）发布《网络安全2025：冲刺“十四五”》报告，深入分析当前网络安全趋势与挑战。本文为报告系列解读之勒索攻击态势篇。

　　全球勒索攻击持续升级，组织数量和攻击范围不断扩大，受害者数量显著增加。勒索软件的攻击手法日益复杂化、组织化，关键基础设施、汽车制造、智慧物流等行业成为重点目标。数据泄密的专业化与产业化趋势尤为明显，已成为勒索攻击的核心环节。

　　1、一年19703条情报：勒索攻击“大数据”揭秘

　　据绿盟科技威胁情报中心统计，2024 年共监测到勒索软件相关情报 19703 条，涉及近六千个受害者。通过对近三年数据的横向对比分析发现，勒索攻击的频率和受影响范围均呈现显著增长趋势，如图 1所示。这一趋势表明，勒索软件攻击的威胁正在持续扩大，对全球各行业和组织的安全构成了日益严峻的挑战。

　　图1 全球近三年每月累计勒索受害者

　　国内勒索软件攻击形势同样严峻。据统计，2022 至 2024 年公开报告中国内勒索攻击受害单位数量从 5 起增至 24 起，年均增长率达 130%，增长趋势与国际威胁环境基本同步，如图 2 所示。需注意的是，由于企业可能出于多重考虑未主动披露攻击事件，实际受影响的机构数量可能高于公开统计。这一显著增长的趋势反映出国内企业和机构面临的网络安全风险正在逐步加大，亟须加强防御措施以应对日益复杂的勒索软件威胁。

　　图2 近三年国内勒索攻击受害单位数量

　　2、全球179个组织在行动：勒索界的“头号玩家”是谁？

　　据绿盟科技威胁情报中心统计，2024年全球活跃的勒索组织数量达到179个，其中涉及国内勒索活动的组织有27个（见图3）。活跃度最高的仍是LockBit勒索集团，其次是Alphv和RansomHouse。LockBit3.0作为其第三代版本，具备高效的自动化攻击能力和双重勒索策略，既加密数据又威胁公开敏感信息，迫使受害企业支付赎金。同时，LockBit通过“勒索即服务（RaaS）”模式吸纳独立攻击者，进一步扩大了攻击规模和覆盖范围。

　　值得注意的是，RaaS模式下的大型勒索组织比例持续上升，通过整合小型组织或吸纳独立攻击者，这些组织的攻击能力与专业化程度显著增强，防御难度也相应提升。随着勒索攻击的规模化和专业化趋势加剧，企业与监管机构需加大跨境合作力度，提升网络防护与应急响应能力，尤其是在关键基础设施和高风险行业中，构建多层次的安全防护体系已成为应对勒索攻击的关键。

　　图3 2024 年国内勒索组织活跃度分布

　　3、62.96%攻击瞄准三大行业，制造业为何成“提款机”？

　　从攻击行业分布来看，制造业、金融等关键基础设施相关行业依然是勒索攻击的主要目标，汽车、物流、商业咨询等领域也逐渐成为新兴攻击对象，呈现出跨行业蔓延趋势。

　　据绿盟科技威胁情报中心统计，2024年制造业、建筑行业和金融行业的攻击事件总占比高达62.96%。其中，制造业受攻击最为严重，占比约33.33%；其次是建筑行业和金融行业，分别占18.52%和11.11%（见图4）。与此同时，勒索攻击的范围不断扩大，智能化系统与物联网设备的普及进一步推高了攻击风险。随着行业数字化程度的提升，勒索攻击正从传统行业向更广泛的跨行业领域迅速蔓延。

　　图4 行业分布情况

　　4、从数据打包到竞价拍卖：勒索攻击的“全链条生意”

　　2024年，勒索攻击中的数据泄密环节呈现出高度专业化与产业化趋势。攻击者不再满足于简单的数据打包销售，而是借助自动化的数据分级与定制化勒索策略，大幅提升了攻击的精准性与破坏力。以“国际猎人”为代表的RaaS（勒索软件即服务）组织，已将数据泄密网站发展为成熟的勒索基础设施，提供从文件渗出、数据分类到泄密展示的“一站式”服务。这些平台不仅标准化了数据窃取流程（如自动筛选高价值文件、统一命名规则），还通过内置的竞价拍卖模块，将泄密数据进行分层交易，甚至支持受害者与攻击者之间的“赎金谈判”。这种模式显著降低了勒索攻击的技术门槛，使更多次级团伙能够快速发起定向数据窃取攻击。

　　据绿盟科技威胁情报中心统计，2024年勒索数据泄密类型复杂多样，涉及多个行业的核心情报（见图5）。从泄密数据类型来看，攻击目标呈现出“业务导向”与“精准打击”的双重特征。隐私数据、金融信息等直接关联法律风险和商业信誉的数据类别仍是主要攻击对象，其泄露往往引发监管问责或客户流失。此外，针对特定行业的数据组合窃取趋势明显，例如同步窃取客户数据与内部通信记录，以制造连锁性的信任危机。部分RaaS组织通过统一的数据分类框架，按“政府机构”“关键技术”“金融凭证”等标签快速分级窃取信息，进一步提升了勒索威胁的定制化程度。攻击者可根据目标行业特性，选择性披露最具破坏力的数据片段，从而施加精准的心理压迫。数据泄密正在从勒索攻击的“附加手段”演变为独立存在的商业模式，重塑整个勒索生态。

　　图5 勒索数据泄密类型分布