电信行业勒索软件攻击事件在过去四年中激增四倍

Cyble公司最新发布的《2025年电信行业威胁形势报告》显示，全球电信行业在2025年面临着严峻且多层面的网络安全威胁。其中，一个尤为突出的趋势是针对电信行业的勒索软件攻击在过去四年（2021-2025）中激增了四倍，这标志着该行业已成为网络犯罪分子的高价值与高优先目标。基于该报告的核心数据与发现，下面对这一趋势进行介绍，并系统了解2025年电信行业面临的整体威胁格局。
数据统计与总体态势
报告显示，2025年全球电信行业共记录并分析了444起安全事件，涵盖数据泄露、访问权限出售、勒索软件等多种类型。在这些事件中，已确认的勒索软件攻击达到90起。纵向对比显示，2022年至2025年间，针对电信行业的勒索软件攻击数量分别为57起、75起和90起，相较于2021年的基数，2025年的攻击量实现了四倍增长，威胁升级速度惊人。
电信行业吸引力持续攀升的原因在于其多重属性：作为关键国家基础设施的核心部分，其运营中断影响深远；存储着海量高价值用户个人身份信息（PII）和通话记录，在黑市具有极高变现价值；在地缘政治冲突中具备战略杠杆作用；其复杂、暴露的互联网面向基础设施以及对第三方服务提供商的广泛依赖，共同构成了一个庞大且脆弱的风险面。
勒索软件攻击的深度特征分析
1. 攻击主体高度集中，头部效应显著：2025年共识别出34个活跃的勒索软件组织，但攻击活动呈现显著的集中化趋势。排名前三的组织——Qilin（16起）、Akira（12起）和Play（7起）——发起的攻击数量合计达35起，占全年观测到攻击总量（90起）的38.9%。这表明少数几个高度专业化、活跃度极高的组织构成了最主要的直接威胁，其中Qilin组织不仅攻击量最大，且表现出对电信行业的持续专注。
2. 攻击范围贯穿整个供应链：攻击目标呈现显著的“垂直打击”特征，不再局限于大型电信运营商。报告对受害者的细分显示：
核心电信服务提供商：38起，如法国的Orange S.A.、美国的AT&T等国际巨头。
互联网基础设施提供商：15起。
通信设备制造商：11起。
这种对供应链上下游的全面攻击策略，旨在最大化破坏力和勒索筹码，通过瘫痪关键节点，能引发更广泛的行业级服务中断和数据风险。
3. 地域分布高度不均，美洲是重灾区：从地理分布看，美洲地区（尤其是美国）承受了最密集的攻击。在90起勒索软件攻击中，北美地区（NA）占57起，其中美国独占47起。这与美国电信市场体量庞大、基础设施集中，以及2024年底至2025年初围绕大选周期的一系列相关数据泄露事件（涉及Verizon、AT&T、Lumen Technologies等公司）被持续利用有关。攻击者将这些先前泄露的海量客户PII数据进行二次变现，加剧了危害。
4. 攻击模式呈现高持续性、强压迫性：主要勒索软件团伙在2025年保持了贯穿全年的稳定攻击节奏。报告记录了一个典型案例：一家美国西海岸的电信公司在同一个月内，先后出现在INC Ransom和Qilin两个不同组织的数据泄露网站上，这起“双受害者”事件凸显了受害企业面临的叠加性、无间断压力。此外，即便在执法机构严重打击后，如LockBit等历史知名组织的残余附属机构在年末仍有零星活动，显示了威胁生态的顽固性。
交织并行的其他关键威胁维度
勒索软件虽是增长最快的显性威胁，但2025年电信行业的威胁格局是多元复合的，这些威胁相互交织，放大了整体风险：
1. 国家级持续性高级威胁（APT）与长期潜伏：以被美国联邦调查局（FBI）公开指认为国家背景的“Salt Typhoon”（盐台风）组织为代表，其活动构成了战略级威胁。该组织通过利用Cisco、Fortinet等厂商网络边缘设备中的关键漏洞（如七年未修的旧漏洞），长期渗透全球（尤其是美国）电信提供商网络，进行大规模、长期性的间谍活动，主要目标是窃取敏感通话记录，特别是针对高级官员。业内专家评估，此类威胁极难根除，可能已在美国电信网络中实现“永久性”驻留。美国联邦通信委员会（FCC）随后撤销了部分针对此威胁的强制性安全规则，转而依赖行业自愿合作，此举引发了安全界的担忧。
2. 成熟的地下数据与访问交易黑市：网络犯罪论坛上存在一个繁荣且分工明确的地下经济：
初始访问权限即商品：专门售卖已攻陷的电信公司网络、管理员账户（如思科路由器SSH访问）、邮件系统或内部管理面板（如SIM卡管理面板）的访问权限。威胁分子“h4tr3dw0rld”和“alpha-wmr”是其中最活跃的卖家之一。
海量数据公开买卖：大规模客户数据库被公然标价出售。报告详细列举了SK Telecom（长达三年的入侵，涉及约2700万用户记录，含敏感IMSI和USIM密钥）、法国Bouygues Telecom（640万客户记录）、以及据称来自Venezuela、Indonesia等地的运营商数据泄露事件。
专业化“犯罪服务”涌现：出现“SIM卡交换即服务”（SIM Swapping-as-a-Service），攻击者声称仅凭电话号码即可非法接管用户移动身份，服务于金融欺诈。
3. 高危漏洞与零日漏洞的快速武器化：威胁行为体具备快速利用公开披露的高危漏洞（CVSS评分普遍在9.0以上）和零日漏洞的能力。报告列举了包含CVE-2025-0282/0283（Ivanti Connect Secure）、CVE-2024-55591（FortiOS）、CVE-2025-20333（Cisco ASA）等在内的数十个被活跃利用的CVE，涉及Ivanti、Fortinet、Cisco、Apple、Microsoft、Oracle等主流厂商。攻击焦点集中于VPN网关、防火墙、协作软件等面向互联网的网络边缘设备和企业级应用。漏洞从披露到被利用的时间窗口不断缩短，修补滞后性成为最大防御短板。
4. 地缘政治驱动的黑客行动主义制造混乱：出于意识形态或政治动机的黑客团体（如一些亲俄、亲巴勒斯坦的团体）也频繁以电信基础设施为目标。其典型战术包括分布式拒绝服务攻击（DDoS）、网站篡改和选择性数据泄露，旨在造成运营中断和舆论影响。例如，亲俄团体“UserSec”（KillNet附属）声称入侵了乌克兰电信提供商后台；而“Ghost Princess”等频道则协调并宣扬针对特定国家电信和基础设施的攻击。
主要结论与关键启示
综上所述，2025年电信行业的网络安全形势可概括为：在勒索软件攻击呈指数级增长的骇人趋势下，叠加了国家级APT的持久渗透、成熟地下黑产的全面支撑、漏洞的闪电式武器化以及地缘政治动机的混乱注入，形成了一个高度敌对且复杂的风险环境。
“勒索软件攻击激增四倍”这一现象，是上述多重因素共振的结果：
高价值驱动：电信数据在黑市需求旺盛，变现直接。
高杠杆效应：攻击关键基础设施能造成社会级影响，迫使支付赎金。
攻击面爆炸：数字化、云化、供应链全球化极大地扩展了可攻击界面。
犯罪即服务：RaaS模式降低了技术门槛，使攻击规模化、常态化。
防御体系滞后：尤其在漏洞修复速度、供应链第三方风险管理和内部威胁检测方面存在明显缺口。
基于报告发现的应对启示：
1. 漏洞管理的极端优先级：必须建立以小时/天计的应急响应流程，对CISA KEV目录漏洞及高危零日漏洞进行极速修补，这是阻断大多数攻击入口的最有效手段。
2. 强化纵深防御与内部监控：实施严格的网络分段，限制攻击者在内部的横向移动；增强对网络边缘设备、关键网关和企业核心应用的持续性异常行为监测。
3. 全面审视供应链安全：将网络安全要求深度融入供应商管理和合同，对技术提供商和基础设施合作伙伴进行持续的、基于威胁情报的风险评估。
4. 拥抱威胁情报驱动防御：利用专业威胁情报掌握特定行业TTPs，实现从被动响应到预测性与主动防御的转变。
5. 提升整体安全韧性：制定并定期演练涵盖数据备份、事件响应和关键业务持续性的韧性计划，确保在最坏情况下能维持核心服务。
报告最终强调，电信运营商已超越其传统服务角色，成为国家数字主权和关键基础设施韧性的守护者。面对这场“持续性的战役”，行业必须进行根本性的安全范式转变，构建一个整合了全面可见性、内生韧性和智慧威胁情报的主动防御体系，方能在日益激烈的网络对抗中立于不败之地。
参考资源：cyble、thecyberexpress