2025年5月份恶意软件之十恶不赦排行榜

网络犯罪分子愈发猖獗，本月的研究重点关注了SafePay的崛起。SafePay是一个相对较新但日益活跃的勒索软件组织，已迅速成为网络犯罪生态系统中的关键参与者。与此同时，FakeUpdates仍然是一股主导力量，持续以惊人的速度影响着全球组织。教育行业仍然是最受攻击的行业，这表明各机构仍然存在持续存在的漏洞。

SafePay 领跑勒索软件组织排名

SafePay 于 2024 年 11 月首次被发现，并已成为本月最猖獗的勒索软件组织。SafePay 采用双重勒索策略：加密文件的同时窃取敏感数据，进一步迫使受害者支付赎金。值得注意的是，SafePay 的恶意软件排除了西里尔语，这表明它可能与俄罗斯相关的威胁行为者存在关联。

该组织采用激进的谈判策略，包括直接致电受害者，并运营一个“耻辱网站”，发布未付款受害者的被盗数据。尽管没有遵循RaaS模式，SafePay已经列出了超过200个受害组织，并特别关注德国目标，德国占其受害者总数的近五分之一。这明显偏离了全球勒索软件攻击的典型趋势。

欧洲刑警组织及其合作伙伴打击 Lumma 信息窃取者

今年5月，欧洲刑警组织、美国联邦调查局、微软及其合作伙伴针对知名恶意软件即服务平台Lumma发起了一项重大行动。此次行动查封了数千个域名，造成了严重破坏，尽管Lumma位于俄罗斯的核心服务器据称仍在运行，而开发人员也迅速恢复了其基础设施。此次行动通过采用网络钓鱼和心理压力等手段，在Lumma用户中散播不信任，损害了其声誉。尽管遭遇这些挫折，但与Lumma相关的数据仍在持续传播，构成长期风险。

2025年5月“十恶不赦”

*箭头表示与上个月相比的排名变化

FakeUpdates是本月最流行的恶意软件，影响了全球5%的组织，其次是Remcos和Androxgh0st，影响率均为3% 。

1. ↔  FakeUpdates – Fakeupdates（又名 SocGholish）是一种下载器恶意软件，最初于 2018 年被发现。它通过在受感染或恶意网站上进行路过式下载进行传播，诱使用户安装虚假的浏览器更新。Fakeupdates 恶意软件与俄罗斯黑客组织 Evil Corp 有关，并用于在初始感染后投放各种二次有效载荷。
2. ↔  Remcos – Remcos 是一种远程访问木马 (RAT)，于 2016 年首次被发现，通常在网络钓鱼活动中通过恶意文档进行传播。它旨在绕过 UAC 等 Windows 安全机制，并以提升的权限执行恶意软件，使其成为威胁行为者的多功能工具。
3. ↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的恶意软件，它通过扫描暴露的 .env 文件（包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据）来攻击使用 Laravel PHP 框架的应用程序。它利用僵尸网络识别运行 Laravel 的网站并提取机密数据。一旦获得访问权限，攻击者就可以部署其他恶意软件、建立后门连接，并利用云资源进行加密货币挖矿等活动。
4. ↑ AsyncRat – AsyncRAT 是一种针对 Windows 系统的远程访问木马(RAT)，于 2019 年首次被发现。它会将系统信息泄露到命令与控制服务器，并执行下载插件、终止进程、截取屏幕截图和自我更新等命令。它通常通过网络钓鱼活动进行传播，用于窃取数据和入侵系统。
5. ↑ Formbook – Formbook 于 2016 年首次被发现，是一款主要针对 Windows 系统的信息窃取恶意软件。该恶意软件会从各种 Web 浏览器窃取凭证、收集屏幕截图、监视和记录键盘输入，并可下载和执行其他有效载荷。该恶意软件通过网络钓鱼活动、恶意电子邮件附件和受感染网站进行传播，通常伪装成合法文件。
6. ↓ AgentTesla – AgentTesla 是一种高级 RAT（远程访问木马），可充当键盘记录器和密码窃取程序。AgentTesla 自 2014 年起活跃，可以监控和收集受害者的键盘输入和系统剪贴板，还可以记录屏幕截图并窃取受害者设备上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的登录凭证。AgentTesla 公开作为合法 RAT 出售，用户许可证价格为 15 至 69 美元。
7. ↑ Phorpiex – Phorpiex，又名 Trik，是一个自 2010 年以来一直活跃的僵尸网络，主要针对 Windows 系统。在其鼎盛时期，Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 因通过垃圾邮件活动传播其他恶意软件家族（包括勒索软件和加密货币挖矿程序）而臭名昭著，并参与了大规模的性勒索活动。
8. ↓ Lumma – Lumma Stealer 于 2022 年 8 月首次被发现，是一种恶意软件即服务 (MaaS) 信息窃取程序，可从受感染的 Windows 系统中窃取敏感数据，包括凭据、加密货币钱包和浏览器信息。它通过网络钓鱼活动、恶意网站和 ClickFix 方法等社会工程学策略进行传播，诱骗用户执行攻击者提供的 PowerShell 命令。
9. ↔  Amadey – Amadey 是一个模块化僵尸网络，出现于 2018 年，主要针对 Windows 系统。它既是信息窃取者，又是恶意软件加载器，能够进行侦察、数据泄露，并部署其他有效载荷，包括银行木马和 DDoS 工具。Amadey 主要通过 RigEK 和 Fallout EK 等漏洞利用工具包、钓鱼电子邮件以及 SmokeLoader 等其他恶意软件进行传播。
10. ↔ Raspberry Robin – RaspberryRobin 是一种蠕虫病毒，于 2021 年 9 月首次出现。它主要通过受感染的 USB 驱动器传播，并以其复杂的技术来逃避检测并在受感染的系统上建立持久性而闻名。一旦系统被感染，Raspberry Robin 便可以协助下载和执行其他恶意负载。

顶级勒索软件组织

勒索软件继续主导网络犯罪领域。本月，SafePay 成为最严重的勒索软件威胁，新一代运营商瞄准大型企业和小型企业。这些犯罪团伙使用的策略日益复杂，彼此之间的竞争也日益激烈。

1. SafePay
   
   – SafePay 是一个勒索软件组织，于 2024 年 11 月首次被发现，有迹象表明该组织可能与俄罗斯有关联。该组织采用双重勒索模式——加密受害者文件，同时窃取敏感数据以增加付款压力。尽管 SafePay 并非以勒索软件即服务 (RaaS) 的形式运营，但其受害者数量异常庞大。其中心化、内部驱动的结构使其拥有一致的策略、技术和程序 (TTP)，并具有针对性的目标攻击。
2. 麒麟 (Qilin) - 麒麟 (Qilin)，又名 Agenda，是一个勒索软件即服务 (RaaS) 犯罪组织，它与同伙合作，加密并窃取受感染组织的数据，随后索要赎金。该勒索软件变种于 2022 年 7 月首次被发现，采用 Golang 语言开发。Agenda 以针对大型企业和高价值组织而闻名，尤其关注医疗保健和教育行业。麒麟通常通过包含恶意链接的网络钓鱼电子邮件渗透受害者，以建立对其网络的访问权限并窃取敏感信息。一旦进入受害者的基础设施，麒麟通常会横向移动，寻找关键数据进行加密。
3. Play
   
   勒索软件 - Play 勒索软件，也称为 PlayCrypt，是一种于 2022 年 6 月首次出现的勒索软件。该勒索软件已针对北美、南美和欧洲的广泛企业和关键基础设施发起攻击，截至 2023 年 10 月，约有 300 家实体受到影响。Play 勒索软件通常通过入侵有效账户或利用未修补的漏洞（例如 Fortinet SSL VPN 中的漏洞）来访问网络。一旦进入网络，它会使用诸如使用“离地二进制文件”（LOLBins）之类的技术来执行数据泄露和凭证窃取等任务。

热门移动恶意软件

移动恶意软件依然日益令人担忧，越来越多的高级威胁瞄准了安卓设备。本月，Anubis 作为一款多功能银行木马荣登榜首，而 Necro 则持续受到关注，重回前三名。移动恶意软件的演变凸显了依赖智能手机进行敏感交易的用户面临的日益严重的威胁。

1. ↔ Anubis – Anubis 是一种多功能银行木马，起源于 Android 设备，并已发展到包含多种高级功能，例如通过拦截基于短信的一次性密码 (OTP) 绕过多因素身份验证 (MFA)、键盘记录、录音以及勒索软件功能。它通常通过 Google Play 商店中的恶意应用进行传播，并已成为最流行的移动恶意软件家族之一。此外，Anubis 还包含远程访问木马 (RAT) 功能，可对受感染系统进行广泛的监视和控制。
2. ↔ AhMyth – AhMyth 是一款针对 Android 设备的远程访问木马 (RAT)，通常伪装成屏幕录像机、游戏或加密货币工具等合法应用。安装后，它会获得大量权限，在设备重启后仍能持续存在，并窃取敏感信息，例如银行凭证、加密货币钱包详情、多重身份验证 (MFA) 代码和密码。AhMyth 还支持键盘记录、屏幕截图、摄像头和麦克风访问以及短信拦截，使其成为数据盗窃和其他恶意活动的多功能工具。
3. ↑ Necro
   
   – Necro 是一款恶意 Android 下载程序，它会根据其创建者的命令，在受感染的设备上检索并执行有害组件。它已在 Google Play 上的多款热门应用中被发现，以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上应用的修改版本。Necro 能够将危险模块下载到智能手机上，从而允许显示和点击隐形广告、下载可执行文件以及安装第三方应用等操作。它还可以打开隐藏窗口运行 JavaScript，从而可能诱使用户订阅不必要的付费服务。此外，Necro 还可以通过受感染的设备重新路由互联网流量，将其变成网络犯罪分子代理僵尸网络的一部分。

最易受攻击的行业

2025年5月，教育行业仍然是最受攻击的行业，紧随其后的是政府和电信行业。由于这些行业拥有关键的基础设施和庞大的用户群，因此很容易受到各种网络攻击，因此仍然是主要目标。

1. 教育
2. 政府
3. 电信

各国威胁指数

2025年5月全球风险指数揭示了明显的区域热点，某些国家和地区的恶意软件活动显著增多。风险指数地图（深红色表示风险较高）突出显示了这些值得关注的区域，展现了全球主要的风险区域。

虽然教育行业仍然是全球最大的攻击目标，但区域细分提供了更详细的视角。在拉丁美洲和东欧，恶意软件活动的增加主要由FakeUpdates和Phorpiex感染推动，凸显了这些地区商品化恶意软件的持续流行。在亚洲，尼泊尔、格鲁吉亚和越南等国家报告Remcos和AgentTesla的感染率有所上升，表明这些国家持续依赖基于网络钓鱼的攻击活动来攻击敏感数据。在西欧，恶意软件种类更加广泛，西班牙和法国等国家Lumma Stealer和Raspberry Robin感染数量激增。

这些地区差异凸显了制定定制化防御策略和威胁情报的必要性。应根据本地漏洞和攻击策略（包括网络钓鱼和漏洞利用工具包）来制定防御措施。