2025 年全球勒索软件攻击态势继续恶化,根据多份行业报告汇总数据,全年勒索软件 Claims 总量达到约 7,655 条,涉及超过 4,500 个独立受害组织。与往年相比,攻击目标呈现明显的行业集中化与地区差异化特征。本篇文章在宏观威胁态势基础上,进一步细化行业 Sector 与地区分布维度,构建可操作的风险评估矩阵,为企业安全建设提供明确的优先级参考。
关键基础设施行业承受半数攻击
2025 年勒索软件攻击最显著的特征是目标行业高度集中于关键基础设施领域。根据 Industrial Cyber 发布的综合报告,2025 年全球约半数勒索软件事件针对关键基础设施行业,包括制造业、医疗健康、能源、交通和金融服务业。这一比例较 2024 年同期增长约 34%,反映出攻击者策略的深刻转变 —— 从追求广撒网式的机会型攻击,转向锁定对国家安全和社会运转具有重大影响的行业,以最大化勒索收益与谈判筹码。
制造业在 2025 年成为勒索软件攻击增长最快的行业之一。数据显示,制造业遭受的攻击事件从 2024 年的约 520 起飙升至 2025 年的约 838 起,同比增长高达 61%。这一激增背后的驱动因素包括:制造业日益依赖的工业物联网(IIoT)系统存在大量未修补的漏洞、供应链数字化带来的攻击面扩张,以及该行业普遍存在的安全投入不足问题。制造业的生产中断成本极高,停产一天可能造成数百万美元损失,这使得受害企业更倾向于支付赎金以快速恢复运营,进一步刺激了攻击者的积极性。
医疗健康行业持续位列最受攻击的行业前三名。医疗机构的特殊性决定了其对系统可用性的极端敏感性 —— 手术系统、病历系统、影像归档与通信系统(PACS)的停摆直接威胁患者生命安全。2025 年多起重大医疗勒索软件事件导致医院被迫转移患者、关闭急诊甚至回退到纸质处方阶段。医疗行业同时面临严格的监管压力(如 HIPAA、GDPR),数据泄露的合规成本往往超过赎金本身,这使得攻击者可以通过双重勒索策略(加密数据 + 威胁公开数据)获得更高的谈判杠杆。
能源行业在 2025 年同样遭受密集攻击。电力、石油、天然气等能源设施是国家关键基础设施的核心组成部分,对其实施攻击不仅能够索取赎金,还可能具有地缘政治动机。2025 年多起针对能源行业的事件暴露出 OT(运营技术)网络与 IT 网络之间的隔离缺陷,攻击者能够通过 IT 网络横向移动至 OT 控制系统,造成物理世界的潜在危害。
金融服务业虽然技术安全水平相对较高,但因其掌握海量敏感数据和客户资产,始终是勒索软件的重点目标。2025 年金融机构遭受的攻击呈现更高的技术复杂度,攻击者开始针对支付系统、核心银行系统和交易平台发起针对性攻击,而非依赖传统的广撒网式邮件钓鱼。金融行业的监管合规要求极为严格,网络安全事件的信息披露义务和高额罚款使得受害机构更倾向于秘密处理勒索事件,这也为攻击者提供了有利的谈判环境。
行业细分与攻击特征对比
除上述关键基础设施行业外,2025 年勒索软件攻击还覆盖了多个细分领域,各行业呈现出差异化的攻击模式与风险特征。
政府公共部门成为 2025 年增长最快的攻击目标领域之一。地方政府、学校、医疗补助管理机构等实体因预算限制和安全能力不足而成为软目标。攻击者看中了政府机构的两个弱点:一是公众监督带来的高社会影响压力,二是遗留系统普遍缺乏及时安全更新。在美国,多起郡市级政府机构遭受勒索软件攻击后被迫停止服务数周,严重影响民生。
SaaS(软件即服务)行业在 2025 年迎来勒索软件攻击的显著增长。随着企业数字化转型加速,SaaS 平台承载的企业敏感数据量急剧增加,成为攻击者眼中高价值的攻击目标。与传统行业不同,SaaS 平台的攻击面具有分布式特征,攻击者可能同时针对多个租户发起供应链攻击,一次成功的入侵可以放大为大规模数据泄露事件。2025 年多起针对云邮件服务、CRM 平台和项目管理工具的勒索事件表明,SaaS 提供商的安全能力正受到严峻考验。
零售与电子商务行业在 2025 年同样面临严峻挑战。该行业的高交易频率和季节性业务峰值使其对系统停机极度敏感 —— 黑色星期五期间的攻击可能导致数百万美元的销售损失。攻击者越来越多地采用 “攻击即服务”(Ransomware-as-a-Service, RaaS)模式,降低了技术门槛,使得更多低水平攻击者能够对零售中小企业发起有效攻击。
地区分布与攻击组织活动
从地区分布来看,美国仍然是 2025 年勒索软件攻击的首要目标,承载了全球约 40% 至 45% 的攻击事件。这一比例显著高于其他任何地区,反映出美国作为全球最大经济体和科技中心的吸引力 —— 高价值目标密集、支付能力强、加密货币生态系统成熟。美国受害组织面临的平均赎金要求也位居全球前列,2025 年多起事件的赎金超过 1,000 万美元。
加拿大在 2025 年延续了近年来的攻击增长势头,成为北美地区第二大目标。加拿大的关键基础设施(能源、金融、公共服务)频繁遭受针对性攻击,该国网络安全机构的报告显示,2025 年针对加拿大组织的勒索软件事件同比增长约 27%。
欧洲地区方面,英国、德国和法国是主要受害国。英国作为欧洲金融中心和政府中枢,遭受的攻击频率和复杂度均处于高位。德国和法国的制造业、汽车工业和能源行业成为重点目标,这些行业的供应链中断会产生跨边境的连锁反应。值得注意的是,2025 年多起针对欧洲工业控制系统的事件暴露了 OT 安全领域的系统性短板。
亚太地区的攻击活动同样呈上升趋势。日本、澳大利亚和印度的受害报告数量显著增加。日本的制造业和关键基础设施、澳大利亚的政府和公共服务机构、印度的金融服务和 IT 外包行业均成为重点目标。亚太地区的攻击者组织结构更为分散,既有 LockBit、ALPHV/BlackCat 等全球性 RaaS 平台的分支,也涌现出众多本地化组织。
从攻击组织层面来看,LockBit 3.0 虽然在国际执法行动中遭受重创,但仍是 2025 年最活跃的勒索软件组织之一,其分支机构和关联组织继续在全球范围内实施攻击。ALPHV/BlackCat 在经历执法打击后经历了组织重构,以 DarkVault 等新品牌继续运营。2025 年还涌现出多个新兴 RaaS 平台,降低了攻击门槛,使得更多低技术能力的攻击者能够参与勒索软件经济。
风险评估矩阵与防御优先级建议
基于上述行业与地区分布数据,可以构建以下风险评估矩阵,为企业安全建设提供优先级参考。
| 风险等级 | 行业 | 地区 | 攻击组织偏好 | 核心风险点 |
|---|---|---|---|---|
| 极高 | 制造业、能源、医疗 | 美国、加拿大、英国、德国 | LockBit、DarkVault | 系统老旧、OT/IT 融合、停机成本高 |
| 高 | 金融服务、政府公用 | 法国、日本、澳大利亚 | ALPHV 分支、RansomHub | 敏感数据、合规压力、公众影响 |
| 中 | SaaS、零售 | 印度、巴西、韩国 | 新兴 RaaS 平台 | 多租户风险、季节性峰值 |
| 低 | 教育、小型商业 | 其他地区 | 低技术攻击者 | 安全投入不足、应急响应能力弱 |
基于该矩阵,企业应优先采取以下防御措施。首先,对于制造业和关键基础设施行业的企业,必须严格实施 IT/OT 网络隔离,部署工业防火墙和入侵检测系统,建立 OT 网络的最小通信白名单机制。定期进行 OT 环境的漏洞评估和补丁管理,特别是对暴露在互联网上的远程访问系统实施强身份验证和零信任架构。
其次,医疗和金融服务机构应将数据备份和恢复能力作为最高优先级建设目标,采用离线、异构的备份策略确保在遭受攻击时能够快速恢复业务。同时,应建立针对双重勒索场景的应对预案,包括数据泄露监控、执法部门协同和媒体沟通机制。
第三,所有行业的企业都应开展全员安全意识培训,重点防范钓鱼邮件和凭证盗用。2025 年超过 70% 的勒索软件初始入侵仍依赖于社会工程攻击,员工的安全意识和行为直接决定了第一道防线的坚固程度。
第四,建议企业建立基于行业威胁情报的主动防御能力,持续监控针对本行业的已知攻击组织活动轨迹和漏洞利用趋势。通过提前识别针对性攻击的预兆指标(Indicators of Compromise, IoC),实现从被动响应到主动拦截的转变。
最后,网络安全保险应作为风险转移的重要手段纳入企业整体风险管理框架。2025 年勒索软件事件的平均 recovery cost(包括赎金支付、业务中断、数据恢复、法律费用)已攀升至数百万美元级别,充分的网络安全保险覆盖能够有效降低单一事件对企业的财务冲击。
参考资料
- Industrial Cyber: Half of 2025 ransomware attacks hit critical sectors as manufacturing, healthcare and energy top global targets
- Statista: Number of publicized ransomware attacks worldwide by sector (2025)
- Total Assure: Ransomware Statistics by Year 2025 Comprehensive Report
- DeepStrike: Global Ransomware Statistics 2026 Trends & Impacts