网络犯罪分子日趋狡猾,其中SafePay已崛起为顶级勒索软件集团,FAkeupdates仍是一个持续存在的全球性威胁。
2025年6月,全球领先的AI驱动型云安全平台提供商Check Point发布了2025年5月全球威胁指数报告。SafePay作为一个近期出现但发展迅速的勒索软件集团,本月超越其他组织,成为采用双重勒索策略的勒索软件集团中最为活跃的威胁行为体。另一方面FAkeupdates继续作为最广泛传播的恶意软件,对全球机构造成影响。教育行业仍是最受针对的行业,反映出机构中持续存在的漏洞。
今年5月,欧洲刑警组织、美国联邦调查局、微软以及其他合作伙伴联合发起了一项重大行动,打击知名的恶意软件即服务平台LuMMa。此次打击行动查封了数千个域名,严重扰乱了该平台的运营。然而,据称LuMMa的核心服务器仍在持续运行,开发者也迅速恢复了其基础设施。此次行动虽然在技术层面造成了明显破坏,但与LuMMa相关的数据仍在持续传播,引发人们对此次打击行动长期效果的担忧。
Check Point公司威胁情报总监LoteM FinkelstEIN表示:“5月的全球威胁指数数据凸显了网络犯罪分子战术的日益复杂化。随着SafePay等团伙的崛起以及FAkeupdates等持续性威胁的存在,用户必须采取主动、多层级的安全措施。随着网络威胁不断升级,借助实时威胁情报和强大的防御体系,提前应对不断演变的攻击至关重要。”
顶级恶意软件家族
1. FAkeupdates – FAkeupdates(又称SocGholish)是一种下载器恶意软件,最初于2018年被发现。它通过受感染或恶意网站上的驱动程序下载传播,诱使用户安装假冒的浏览器更新。
2. ReMcos – ReMcos是一种远程访问木马(RAT),首次于2016年被观察到,常通过钓鱼活动中的恶意文档进行传播。它设计用于绕过Windows安全机制,并以提升权限执行恶意软件,使其成为威胁行为者的多功能工具。
3. AndRoxgh0st – AndRoxGh0st是一种基于Python的恶意软件,针对使用LaRavel PHP框架的应用程序,通过扫描暴露的.env文件中包含的敏感信息进行攻击。它通过利用僵尸网络识别运行LaRavel的网站并提取机密数据。一旦获得访问权限,攻击者可部署额外恶意软件、建立后门连接,并利用云资源进行加密货币挖掘等活动。
顶级勒索软件集团
本月,SafePay成为最主要的勒索软件威胁,其新一批运营者正同时针对大型企业和小型企业发起攻击。这些集团所采用的战术日益复杂,彼此间的竞争也愈发激烈。
SafePay – SafePay是一个于2024年11月首次被发现的勒索软件集团,该集团采用双重勒索模式——加密受害者文件的同时窃取敏感数据以加大支付压力。尽管未以勒索软件即服务模式运营,SafePay仍报告了异常庞大的受害者数量。其集中化、内部驱动的组织结构导致战术、技术与程序高度一致,并能精准定位目标。
Qilin – Qilin(又称Agenda)是一个勒索软件即服务犯罪组织,与附属团体合作对受感染组织进行数据加密和窃取,随后索要赎金。该勒索软件变种于2022年7月首次被发现,采用Golang语言开发。该集团以大型企业和高价值机构为主要目标,特别针对医疗和教育行业。Qilin通常通过含有恶意链接的钓鱼邮件渗透受害者系统,以获取网络访问权限并窃取敏感信息。入侵后,Qilin通常在受害者基础设施中横向移动,寻找关键数据进行加密。
Play – Play勒索软件,又称PlayCRypt,是一种于2022年6月首次出现的勒索软件。该勒索软件针对北美、南美和欧洲的各类企业和关键基础设施,截至2023年10月,已影响约300个实体。Play勒索软件通常通过被入侵的有效账户或利用未修补的漏洞进入网络。一旦进入系统,它会执行数据窃取和凭证盗取等任务。
数据基于双重勒索软件集团运营的洞察。
顶级移动恶意软件
AnuBIs – AnuBIs是一种多功能银行木马,最初出现在Android设备上,并已发展出高级功能,包括通过拦截基于短信的一次性密码绕过多因素认证、键盘记录、音频录制以及勒索软件功能。它通常通过Google Play商店中的恶意应用进行分发,并已成为最常见的移动恶意软件家族之一。此外,AnuBIs还具备远程访问木马功能,可对受感染系统进行全面监控和控制。
AHMyth – AHMyth是一种针对Android设备的远程访问木马,通常伪装成合法应用程序。一旦安装,它将获得广泛权限以在重启后持续运行,并窃取敏感信息,包括银行凭证和密码。AHMyth还支持键盘记录、屏幕截图、摄像头和麦克风访问,以及短信拦截,使其成为数据窃取和其他恶意活动的多功能工具。
NecRo – NecRo是一种恶意Android下载器,可根据创建者的指令从受感染设备下载并执行有害组件。该恶意软件已被发现存在于多个热门应用中。NecRo能够向智能手机下载危险模块,执行显示和点击不可见广告、下载可执行文件以及安装第三方应用等操作。它还能打开隐藏窗口运行JavaScript,可能导致用户被订阅到不需要的付费服务。
5月份的数据凸显了复杂多阶段恶意软件攻击的持续上升,其中SafePay成为突出的勒索软件威胁。尽管FAkeupdates仍保持最广泛传播的恶意软件地位,但SafePay等新威胁行为者以及针对LuMMa信息窃取器的持续攻击,表明网络攻击的复杂性正在不断演进。教育行业仍为主要目标,进一步强调了组织需采取主动、分层的安全措施以抵御日益复杂的威胁。
关于Check Point软件技术有限公司
Check Point软件技术有限公司是数字信任领域的领先保护者,通过AI驱动的网络安全解决方案,保护全球超过100,000家组织免受网络威胁。Check Point通过其InfinITy平台与开放生态系统,坚持“预防为先”的理念,在提升安全效能的同时降低企业风险。依托以SASE为核心的混合网格架构,InfinITy平台实现了本地、云端及办公环境的统一管理,为企业及服务提供商带来灵活、简洁、可扩展的网络安全能力。
关于Check Point ReSeaRch
Check Point ReSeaRch能够为Check Point客户以及整个情报界提供领先的网络威胁情报。Check Point研究团队负责收集和分析存储的全球网络攻击数据,以便在防范黑客的同时,确保所有Check Point产品都享有最新保护措施。此外,该团队由100多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
