一年点名7655家受害者：勒索软件越来越像一门“稳定生意”了

如果你觉得勒索软件已经是“老新闻”，这组数据会把人拉回现实。

根据 CipherCue 基于 ransomware.live API 汇总的数据，在 2025 年 3 月 1 日到 2026 年 3 月 11 日这 376 天里，勒索软件团伙在公开泄密站上发布了 7655 条受害者声明。换算一下，差不多是每天 20 起、每 71 分钟就有一家机构被挂到网上示众。先别急着把这理解成 7655 起已经确认的真实入侵——这些是攻击者自己发布的“战报”，有夸大战果、重复发布甚至虚张声势的可能。但即便打个折看，它也足够说明一个问题：勒索软件没有退潮，反而更像一种常态化运转的地下商业模式。

这也是我看这份数据时最强烈的感受。过去几年，大家总期待执法部门端掉几个知名团伙，局面就会好一些。可现在看，现实更像打地鼠：冒头的从来不止一个，打掉一个，旁边又冒出三个。

头部很凶，但真正可怕的是“长尾军团”

从数据看，Qilin 是这一周期里最活跃的团伙，共发布 1179 条受害者声明，占总量 15.4%。这意味着它平均每天要“认领”3 起以上。第二名 Akira 有 706 起，之后是 INC Ransom、Play、Safepay。前五大团伙合计占了 40% 的声明量，看上去像是明显的头部集中。

但如果只盯着头部，你会低估勒索软件生态的韧性。真正麻烦的地方在于：剩下 124 个团伙，合计也有 4628 条声明。换句话说，就算某个明星团伙今天被执法机构“一锅端”，整个盘子依旧照转。Qilin 很大，Akira 很活跃，可这门生意早就不是靠一个品牌撑场面的时代了，而是加盟店遍地开花。

这跟前些年 LockBit、ALPHV/BlackCat 一度形成“超级平台”时的格局已经有些不同。过去是明星集团带着加盟模式横扫市场，如今则更像一个碎片化的黑产市场：工具、漏洞、初始访问权限、洗钱通道、谈判服务，层层外包。你可以把它想象成一个糟糕版的云服务生态——分布式、高冗余、出了故障还能自动切流。对防守方来说，这意味着“斩首行动”仍然重要，但远远不够。

制造业和科技行业，为什么总在“受害者名单”前排

如果按行业看，制造业以 890 起排第一，科技行业以 843 起紧随其后，医疗行业也有 537 起。这个排序并不让人意外，甚至可以说非常“现实”。

制造业之所以常年高危，不是因为它最不会防，而是因为它最怕停。工厂停线一天，损失不是 PPT 里的抽象数字，而是生产订单、交付违约、供应链连锁反应，甚至是车间现场真的停摆。对勒索团伙来说，这类行业往往有更高的付款压力。Play 在制造业和建筑业上的集中，就是典型例子：这些行业一旦系统瘫痪，时间就直接等于钱。

科技行业高发，则是另一种逻辑。科技公司本身是高价值目标，更关键的是它们经常位于别人的供应链核心位置。一个软件服务商、托管服务商或者文件传输平台出问题，影响的是一串客户，而不是一家企业。这也是为什么 Clop 在技术行业上的集中非常有代表性。熟悉勒索事件的人会立刻想到它过去对文件传输工具漏洞的“精准运营”——MOVEit 事件就是经典样本，一次漏洞利用可以切到大量企业客户，效率惊人。

医疗行业同样令人揪心。医院、诊所、检测机构从来不是最能承受中断的地方。系统瘫痪不仅是财务风险，还会变成现实世界里的延误、混乱和人身风险。每次看到医疗系统出现在勒索统计前列，我都会有一种不太舒服的感觉：这已经不是单纯的数据安全问题，而是公共安全问题。

美国占四成，不代表其他地方可以放心

地理分布上，美国仍然是绝对重灾区，共有 3101 条声明，占总量约 40%。这很符合过去几年勒索攻击的总体画像：美国企业数字化程度高、支付能力强、披露体系相对完善，天然就是最醒目的目标市场。

但这组数据还有另一个容易被忽略的事实：总共有 141 个国家出现在名单里。德国、加拿大、英国、法国、意大利、西班牙、日本、印度、巴西都在前列。尤其是德国排名第二，某种程度上有点出乎很多人的直觉。Safepay 一家就对德国组织发布了 72 条声明，这种集中度说明，某些团伙很可能已经形成了明确的区域化打法，甚至不排除存在语言能力、代理网络或本地化资源优势。

这也是今天企业安全决策中最容易犯的错之一：总部在美国，才把全球安全当回事；总部不在美国，就误以为自己只是外围风险。现实是，勒索软件已经跟着跨国业务结构一起全球化了。你的欧洲子公司、东南亚工厂、拉美销售办公室，甚至一个区域仓储系统，都可能是攻击链上最薄弱的一环。攻击者不一定从正门进，他只要找一扇没锁好的侧门。

数据在上升，争议也在上升：到底是攻击更多了，还是“晒战果”更多了？

这份统计里还有一个很扎眼的趋势：后半年明显比前半年更猛。2025 年 3 月到 8 月，月均 521 条；2025 年 9 月到 2026 年 2 月，月均 732 条，涨幅约 40%。2025 年 12 月达到 861 条，创下峰值，10 月也有 814 条。

当然，看到这种增长，记者的职业病会提醒我多问一句：这到底意味着真实攻击在增加，还是勒索团伙更喜欢用泄密站做营销了？又或者，是数据源覆盖面变广了？答案是，光靠“公开点名”数据，谁都没法下定论。原始报告自己也很谨慎地强调，这些声明不等于已核实入侵，历史数据还可能随数据源更新而变化。

但即便把这些不确定性都摆在台面上，这个趋势仍然值得警惕。因为对企业而言，泄密站本身已经成为攻击的一部分。勒索软件早就不是“偷了数据再加密”那么简单，而是把舆论、声誉、客户恐慌和合规压力一起打包出售。公开挂名，就是施压。哪怕最后没真正加密核心系统，只要客户和合作伙伴看见你出现在泄密站上，法务、PR、销售和安全团队就会一起失眠。

这也是 CipherCue 这类工具试图解决的问题：它们卖的不是“绝对安全”，而是更快发现自己、供应商或潜在合作伙伴是否被挂上了泄密站。某种意义上，这有点像勒索时代的舆情监测。你可以说它很现实，也可以说它有点无奈——当黑产的公开发布越来越体系化，企业就不得不把“被点名监测”纳入日常运营。

勒索软件最麻烦的，不是技术，而是它已经嵌进了商业流程

为什么这件事在当下特别重要？因为勒索软件的伤害半径已经超出了安全团队。它影响采购、供应链、保险、审计、并购，甚至销售。

如果一家制造商被挂上泄密站，它的客户会重新评估交付风险；如果一家技术服务商中招，下游企业会担心自己的数据和业务连续性；如果一家医院遭遇攻击，监管和公众舆论会同时放大冲击。也就是说，勒索软件正在从一个 IT 问题，变成一个经营问题。

过去企业谈网络安全，往往喜欢问：“我们会不会被攻破？”今天更现实的问题是：“我们的合作伙伴、外包商、软件供应商、区域办公室里，谁会先被攻破，然后把麻烦传导给我们？”从这份数据看，制造业和科技行业加起来占了已标注行业样本的 35%，这背后就是供应链风险最真实的轮廓。

还有一个很值得思考的问题：当泄密站数据开始成为风控、销售甚至保险定价的输入变量时，攻击者“公开认领”的行为会不会反过来塑造市场判断？如果一家企业只是被误报、重报，或者事件严重性被夸大，它仍可能遭遇商业层面的次生伤害。未来围绕泄密站数据的真实性、去重、证据标准，恐怕会成为一个更大的争议点。

安全行业这些年总喜欢讲“零信任”“韧性”“攻击面管理”，听多了容易麻木。但这组数字把事情说得很直接：勒索软件不是偶发风暴，它更像一种持续低气压。你未必天天看见闪电，但雨一直在下。