美国检方指控三名安全公司员工“监守自盗”：DigitalMint 公司的 Kevin Tyler Martin 和另一名未公布名字的员工，以及 Sygnia 公司的前事件响应经理 Ryan Clifford Goldberg。三人被控入侵企业，窃取敏感数据，部署 ALPHV/BlackCat 开发的勒索软件。ALPHV/BlackCat 采用的是勒索软件即服务模式，它提供勒索软件，由加盟成员——在本案中就是三名安全公司员工——通过入侵企业网络部署勒索软件，然后赎金留出部分给加盟者。DigitalMint 公司从事的就是与勒索软件黑帮谈判赎金的业务，它的两名遭到起诉的员工既充当了谈判者，又充当了赎金的分成者。检方指控他们攻击了至少五家美国企业，从其中一家获得了逾 120 万美元的赎金。

麒麟（Qilin）勒索软件被发现滥用 Windows Subsystem for Linux(WSL)在 Windows 操作系统中执行 Linux 加密器以逃避传统安全工具的检测。麒麟勒索软件最初的名字叫 Agenda，2022 年 9 月改名为麒麟，沿用至今，它是目前最活跃的勒索软件之一。安全公司趋势科技和思科 Talos 报告，麒麟勒索软件组织今年至今攻击了 62 个国家的逾 700 名受害者，2025 年下半年每月新增受害者逾 40。趋势科技的安全研究员报告，麒麟勒索软件组织利用 WinSCP 将 Linux ELF 加密器传输到入侵的设备，然后通过 Splashtop 远程管理软件 (SRManager.exe) 直接在 Windows 系统中启动加密器。该加密器无法直接在 Windows 中运行，必须通过 WSL 子系统。WSL 允许用户直接在 Windows 系统中安装和运行 Linux 发行版，攻击者在获得设备的访问权限之后，会启用或安装 WSL，然后执行加密器，绕过传统的 Windows 安全软件。