网络犯罪分子日趋狡猾,其中SafePay已崛起为顶级勒索软件集团,FakeUpdates仍是一个持续存在的全球性威胁。
2025年6月 –全球领先的AI驱动型云安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了2025年5月全球威胁指数报告。SafePay作为一个近期出现但发展迅速的勒索软件集团,本月超越其他组织,成为采用双重勒索策略的勒索软件集团中最为活跃的威胁行为体。另一方面FakeUpdates继续作为最广泛传播的恶意软件,对全球机构造成影响。教育行业仍是最受针对的行业,反映出机构中持续存在的漏洞。
今年5月,欧洲刑警组织(Europol)、美国联邦调查局(FBI)、微软以及其他合作伙伴联合发起了一项重大行动,打击知名的恶意软件即服务(malware-as-a-service)平台 Lumma。此次打击行动查封了数千个域名,严重扰乱了该平台的运营。然而,据称Lumma的核心服务器仍在持续运行,开发者也迅速恢复了其基础设施。此次行动虽然在技术层面造成了明显破坏,但与 Lumma 相关的数据仍在持续传播,引发人们对此次打击行动长期效果的担忧。
Check Point 公司威胁情报总监 Lotem Finkelstein 表示:“5 月的全球威胁指数数据凸显了网络犯罪分子战术的日益复杂化。随着 SafePay 等团伙的崛起以及 FakeUpdates 等持续性威胁的存在,用户必须采取主动、多层级的安全措施。随着网络威胁不断升级,借助实时威胁情报和强大的防御体系,提前应对不断演变的攻击至关重要。”
顶级恶意软件家族
(箭头表示与4月相比的排名变化。)
1. FakeUpdates - Fakeupdates(又称SocGholish)是一种下载器恶意软件,最初于2018年被发现。它通过受感染或恶意网站上的驱动程序下载传播,诱使用户安装假冒的浏览器更新。
2. Remcos - Remcos 是一种远程访问木马(RAT),首次于 2016 年被观察到,常通过钓鱼活动中的恶意文档进行传播。它设计用于绕过 Windows 安全机制(如 UAC),并以提升权限执行恶意软件,使其成为威胁行为者的多功能工具。
3. ↑ Androxgh0st - AndroxGh0st 是一种基于 Python 的恶意软件,针对使用 Laravel PHP 框架的应用程序,通过扫描暴露的 .env 文件中包含的敏感信息(如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据)进行攻击。它通过利用僵尸网络识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限,攻击者可部署额外恶意软件、建立后门连接,并利用云资源进行加密货币挖掘等活动。
顶级勒索软件集团
本月,SafePay 成为最主要的勒索软件威胁,其新一批运营者正同时针对大型企业和小型企业发起攻击。这些集团所采用的战术日益复杂,彼此间的竞争也愈发激烈。
SafePay - SafePay 是一个于 2024 年 11 月首次被发现的勒索软件集团,该集团采用双重勒索模式——加密受害者文件的同时窃取敏感数据以加大支付压力。尽管未以勒索软件即服务(RaaS)模式运营,SafePay仍报告了异常庞大的受害者数量。其集中化、内部驱动的组织结构导致战术、技术与程序(TTPs)高度一致,并能精准定位目标。
Qilin - Qilin(又称Agenda)是一个勒索软件即服务(RaaS)犯罪组织,与附属团体合作对受感染组织进行数据加密和窃取,随后索要赎金。该勒索软件变种于2022年7月首次被发现,采用Golang语言开发。该集团以大型企业和高价值机构为主要目标,特别针对医疗和教育行业。Qilin通常通过含有恶意链接的钓鱼邮件渗透受害者系统,以获取网络访问权限并窃取敏感信息。入侵后,Qilin通常在受害者基础设施中横向移动,寻找关键数据进行加密。
Play - Play 勒索软件,又称 PlayCrypt,是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的各类企业和关键基础设施,截至 2023 年 10 月,已影响约 300 个实体。Play 勒索软件通常通过被入侵的有效账户或利用未修补的漏洞(如 Fortinet SSL VPN 中的漏洞)进入网络。一旦进入系统,它会使用“利用现有资源的二进制文件”(LOLBins)等技术执行数据窃取和凭证盗取等任务。
数据基于双重勒索勒索软件集团运营的“羞耻网站”提供的洞察。
顶级移动恶意软件
Anubis - Anubis 是一种多功能银行木马,最初出现在 Android 设备上,并已发展出高级功能,包括通过拦截基于短信的一次性密码(OTP)绕过多因素认证(MFA)、键盘记录、音频录制以及勒索软件功能。它通常通过 Google Play 商店中的恶意应用进行分发,并已成为最常见的移动恶意软件家族之一。此外,Anubis还具备远程访问木马(RAT)功能,可对受感染系统进行全面监控和控制。
AhMyth - AhMyth是一种针对Android设备的远程访问木马(RAT),通常伪装成合法应用程序,如屏幕录制工具、游戏或加密货币工具。一旦安装,它将获得广泛权限以在重启后持续运行,并窃取敏感信息,包括银行凭证、加密货币钱包详情、多因素认证(MFA)代码及密码。AhMyth还支持键盘记录、屏幕截图、摄像头和麦克风访问,以及短信拦截,使其成为数据窃取和其他恶意活动的多功能工具。
↑ Necro - Necro 是一种恶意 Android 下载器,可根据创建者的指令从受感染设备下载并执行有害组件。该恶意软件已被发现存在于 Google Play 上的多个热门应用中,以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上的应用修改版本中。Necro 能够向智能手机下载危险模块,执行显示和点击不可见广告、下载可执行文件以及安装第三方应用等操作。它还能打开隐藏窗口运行 JavaScript,可能导致用户被订阅到不需要的付费服务。此外,Necro 可将互联网流量通过受感染设备进行转发,将其转化为网络犯罪分子的代理僵尸网络的一部分。
5月份的数据凸显了复杂多阶段恶意软件攻击的持续上升,其中SafePay成为突出的勒索软件威胁。尽管FakeUpdates仍保持最广泛传播的恶意软件地位,但SafePay等新威胁行为者以及针对Lumma信息窃取器的持续攻击,表明网络攻击的复杂性正在不断演进。教育行业仍为主要目标,进一步强调了组织需采取主动、分层的安全措施以抵御日益复杂的威胁。
