附录1.2025年勒索软件大事件P117 BlackSuit团伙的攻击流程高度标准化，首先通过钓鱼邮件、利用已知系统漏洞或收买 内部人员等方式获取初始访问权限。随后，在目标网络内部横向移动，收集敏感数据并窃取 备份系统的认证信息。接着，加密目标系统的核心业务数据，同时将窃取的敏感数据上传至 团伙控制的服务器。最后，向受害者发送勒索通知，要求其在规定时间内支付赎金，否则将 在暗网泄露平台公开窃取的数据。 为了遏制BlackSuit团伙的嚣张气焰，2025年7月24日，美国联合英国、德国、法国、 加拿大、乌克兰、立陶宛等多国执法机构，开展了联合打击行动。此次行动中，执法机构成 功捣毁了BlackSuit团伙的核心基础设施，包括查封4台用于控制攻击、存储窃取数据的核心 服务器，注销了9个用于与受害者协商和发布威胁信息的域名，并冻结了价值109.15万美元 的加密货币赎金。 此次联合打击行动取得了显著成效，BlackSuit团伙的攻击活动在行动后大幅减少。据 报告，2025年8月一12月期间，BlackSuit团伙发起的攻击次数降至32起，明显低于此前每 月平均60起的攻击频次。然而，勒索软件团伙的重组和迭代速度极快，此次打击可能只是 暂时遏制了BlackSuit团伙的活动，未来仍需警惕其卷土重来或其他类似团伙的崛起。