2026年4月30日至5月5日 勒索软件监测日报 | 零零信安暗网威胁情报
零零信安作为国内领先的暗网威胁情报服务商,专注于为政府和企业提供全域暗网情报监测、数据泄露检测及闭环事件响应服务。
2026年4月30日至5月5日6天共145起新勒索事件,13个勒索组织活跃度显著上升。Bavacai以22起大幅领跑,Qilin 15起紧随其后。主要攻击教育、医疗、零售、制造和政府领域,高科技供应链风险增加。
🔍 关键洞察
📅 2026年04月30日至05月05日勒索软件事件分析:
2026年04月30日至05月05日6天共约145起新勒索事件,13个勒索组织保持高强度活跃,较前一周明显上升。Bavacai以22起大幅领跑,Qilin 15起紧随其后,Safepay和Blackwater分别贡献12起和11起,显示传统RaaS群组产能持续释放。主要攻击教育、医疗保健、零售、制造和政府领域,与前几日相比,关键基础设施、教育科技和高价值供应链目标占比显著上升,美国、欧洲、巴西、亚洲等多地高价值目标遭精准打击。整体影响程度较高:Instructure教育科技平台、Johnson & Johnson创新医药、Cushman & Wakefield地产巨头、埃尔拉航空航天企业及光子量子公司等受害,可能引发供应链中断、学生隐私泄露与国家安全风险,预计短期内教育、医疗、制造及政府行业将紧急加强RDP/VPN排查、数据备份及初始访问代理监控。本周期Bavacai、Qilin等群组活跃度远高于平均水平,建议企业重点关注Bavacai、Qilin高危IOC。
📋 勒索软件事件分析
6天总事件145起。以下表格列出主要确认的已知事件。
| 被勒索企业名称(中英文) | 国家 | 行业 | 勒索组织名 |
|---|---|---|---|
| 结构教育控股公司 (Instructure Holdings, Inc. / Canva LMS) | 美国 | 教育科技 | ShinyHunters |
| 强生创新医药 (Johnson & Johnson Innovative Medicine) | 美国 | 制药 | Qilin |
| 卡什曼&韦克菲尔德 (Cushman & Wakefield) | 美国 | 房地产 | ShinyHunters |
| 希斯科 (Sysco) | 美国 | 食品分销 | Qilin |
| 爱肯公司 (Elken Sdn Bhd) | 马来西亚 | 直销/健康美容 | Bavacai |
| 班代兰特超市 (Bandeirante Supermercados) | 巴西 | 零售 | Bavacai |
| 战略进口公司 (Strategic Imports) | 澳大利亚 | 汽车零部件 | Bavacai |
| 玛格诺利亚珠宝 (Magnolia Israel) | 以色列 | 珠宝零售 | Bavacai |
| 特林布尔/格拉德公司 (Trimble Inc / Gerrard Inc) | 美国 | 科技 | Bavacai |
| 阿滕西奥工程公司 (Atencio Engineering) | 美国 | 土木工程 | Bavacai |
| SIT集团/罗布斯塔 (SIT Group / Robusta) | 意大利/保加利亚 | 制造业 | Bavacai |
| 沙漠基督教学校 (Desert Christian Schools) | 美国 | 教育 | Bavacai |
| 法院智能科技 (CourtSmart) | 美国 | 法院科技 | Bavacai |
| 埃尔拉科技 (Erla Technologies SAS) | 哥伦比亚 | 航空航天/国防制造 | Lamashtu |
⚙️ 活跃勒索组织分析
6天活跃组织13个。以下表格列出组织、6天事件数量及常用攻击技术(基于公开情报)。
| 勒索组织名称 | 6天发布勒索事件数量 | 该组织常用攻击技术 |
|---|---|---|
| Bavacai | 22 | RaaS、钓鱼邮件、双重勒索、自动化攻击 |
| Qilin | 15 | RaaS、钓鱼邮件、双重勒索 |
| Safepay | 12 | 数据泄露为主 |
| Blackwater | 11 | 凭证窃取、RDP暴露利用 |
| Incransom | 9 | 凭证窃取、RDP暴露利用、数据外泄威胁 |
| Stormous | 9 | 数据泄露+勒索 |
| Everest | 8 | RaaS、针对政府与高科技目标 |
| Sinobi | 8 | 新兴RaaS、快速加密 |
| ShinyHunters | 7 | 大规模数据泄露 |
| Akira | 7 | RaaS、快速加密 |
| Lamashtu | 6 | 针对制造与航空航天行业的攻击 |
| Krybit | 5 | RaaS、数据泄露为主 |
| DragonForce | 5 | 双重勒索、公开漏洞利用、钓鱼 |
🚨 本期大事件
1. 结构教育控股公司 (Instructure Holdings, Inc. / Canva LMS)(美国) 教育科技
Instructure是全球领先的教育科技公司,其Canva LMS平台服务近9000所学校,为数亿学生和教师提供在线学习管理工具。此次被ShinyHunters攻击,泄露约2.75亿条学生、教师个人信息,对全球教育数字化安全和学生隐私保护构成严重威胁。
2. 埃尔拉科技 (Erla Technologies SAS)(哥伦比亚) 航空航天/国防制造
拥有30多年经验的航空航天设计与制造企业,为全球飞机制造商提供精密组件。此次被Lamashtu锁定,可能涉及国防供应链敏感技术数据外泄,对区域航空制造和国防安全构成潜在威胁。
3. 卡什曼&韦克菲尔德 (Cushman & Wakefield)(美国/全球) 房地产
全球顶级商业地产服务巨头,为企业提供物业管理、估值和投资咨询服务。此次被ShinyHunters攻击,超过50万条Salesforce记录(含PII和企业数据)遭泄露,对全球房地产市场数据安全造成重大风险。