2025年2月份恶意软件之“十恶不赦”排行榜

二月对于勒索软件领域最活跃的组织之一——Clop Ransom 组织来说尤其成功。2 月份，该组织在其网站上公布了数十名受害者名单，这些受害者来自各个行业，包括制造业、运输业、IT 和技术服务业，其中几家大型企业也受到了影响。该组织一直保持高度活跃，专注于利用 CLEO 漏洞，这是他们利用文件共享软件零日漏洞的策略的一部分。这种方法使他们能够进行大规模数据泄露和勒索。Clop 的行动主要围绕成功入侵后进行大规模数据勒索。值得注意的是，该组织两年前因其大规模 MOVEit 攻击而首次引起广泛关注，此次攻击影响了超过 2600 个组织和近 9000 万个人。

2025年2月“十恶不赦”

*箭头表示与上个月相比的排名变化

FakeUpdates 是 2 月份最流行的恶意软件，紧随其后的是 Androxgh0st 和 Remcos，它们均影响了全球 3% 的组织。

↔ FakeUpdates – FakeUpdates，又名 SocGholish，是一种下载器恶意软件，于 2018 年首次被发现。它主要通过在受感染或恶意网站上进行路过式下载进行传播，诱使用户安装虚假的浏览器更新。该恶意软件与俄罗斯黑客组织 Evil Corp 有关，并经常用于在初始感染后投放二次有效载荷。↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的恶意软件，主要针对基于 Laravel PHP 框架构建的应用程序。它会扫描暴露的 .env 文件，这些文件通常包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据。该恶意软件通过僵尸网络运行，该僵尸网络会识别运行 Laravel 的网站并提取机密数据。一旦攻击者获得访问权限，他们就可以部署其他恶意软件、建立后门连接，并利用云资源进行加密货币挖矿等活动。↔ Remcos — Remcos 是一种远程访问木马 (RAT)，于 2016 年首次被发现。它通常通过网络钓鱼活动中的恶意文档进行传播。该 RAT 旨在绕过 Windows 安全功能，例如用户帐户控制 (UAC)，从而以提升的权限执行恶意软件。因此，它成为网络犯罪分子的多功能工具。↑ AsyncRAT – AsyncRAT 是一种针对 Windows 系统的远程访问木马 (RAT)，于 2019 年首次被发现。它会将系统信息泄露到命令与控制服务器，并可以执行各种命令，例如下载插件、终止进程、截取屏幕截图以及自我更新。AsyncRAT 通常通过网络钓鱼活动进行传播，用于数据窃取和系统入侵。↑ AgentTesla — AgentTesla 是一种高级 RAT（远程访问木马），可充当键盘记录器和密码窃取程序。AgentTesla 自 2014 年起活跃，可以监控和收集受害者的键盘输入和系统剪贴板、记录屏幕截图，并窃取受害者设备上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的登录凭证。AgentTesla 公开作为合法 RAT 出售，用户许可证费用为 15 至 69 美元。↓ Formbook - Formbook 于 2016 年首次被发现，是一款主要针对 Windows 系统的信息窃取恶意软件。该恶意软件会从各种 Web 浏览器收集凭证、收集屏幕截图、监控和记录键盘输入，并下载和执行其他有效载荷。该恶意软件通过网络钓鱼活动、恶意电子邮件附件和受感染网站进行传播，通常伪装成合法文件。↑ Rilide – Rilide 是一款恶意浏览器扩展程序，主要针对基于 Chromium 的浏览器，例如 Chrome、Edge、Brave 和 Opera。它伪装成合法的 Google Drive 扩展程序，使威胁行为者能够监控浏览历史记录、截取屏幕截图，并注入恶意脚本以从加密货币交易所提取资金。值得注意的是，Rilide 可以模拟对话框，诱骗用户泄露双因素身份验证 (2FA) 信息，从而促成未经授权的加密货币交易。其传播方式包括恶意的 Microsoft Publisher 文件和推广虚假软件安装程序的欺骗性 Google 广告。↓ Phorpiex – Phorpiex，又名 Trik，是一个至少自 2010 年以来就活跃的僵尸网络，主要针对 Windows 系统。在巅峰时期，Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 因通过垃圾邮件活动传播其他恶意软件家族（包括勒索软件和加密货币挖矿软件）而臭名昭著，并且参与了大规模的性勒索活动。↔ Amadey – Amadey 是一个模块化僵尸网络，出现于 2018 年，主要针对 Windows 系统。它既是信息窃取者，又是恶意软件加载器，能够进行侦察、数据泄露，并部署其他有效载荷，包括银行木马和分布式拒绝服务 (DDoS) 工具。Amadey 主要通过 RigEK 和 Fallout EK 等漏洞利用工具包、网络钓鱼电子邮件以及 SmokeLoader 等其他恶意软件进行传播。↑ Mirai – Mirai 是一种恶意软件，它会将运行 Linux 的联网设备（尤其是 IP 摄像头和家用路由器等物联网 (IoT) 设备）转变为远程控制的僵尸网络。Mirai 于 2016 年 8 月首次被发现，因策划了有记录以来的一些最大规模的 DDoS 攻击而恶名远播，其中包括针对安全记者 Brian Krebs 和 DNS 提供商 Dyn 网站的攻击。该恶意软件通过扫描互联网上仍配置默认出厂登录凭据的物联网设备进行传播，并利用这些凭据获取控制权。自 2016 年 10 月其源代码公开发布以来，已出现众多变种。热门移动恶意软件

上个月，Anubis在最流行的移动恶意软件中排名第一，其次是Necro和AhMyth。

↔ Anubis – Anubis 是一种多功能银行木马，起源于 Android 设备，并已发展到包含多种高级功能，例如通过拦截基于短信的一次性密码 (OTP) 绕过多因素身份验证 (MFA)、键盘记录、录音以及勒索软件功能。它通常通过 Google Play 商店中的恶意应用进行传播，并已成为最流行的移动恶意软件家族之一。此外，Anubis 还包含远程访问木马 (RAT) 功能，可对受感染系统进行广泛的监视和控制。↑ Necro – Necro 是一款恶意 Android 下载程序，它会根据其创建者的命令，在受感染的设备上检索并执行有害组件。它已在 Google Play 上的多款热门应用以及 Spotify、WhatsApp 和 Minecraft 等非官方平台上的应用修改版中被发现。Necro 可以将危险模块下载到智能手机上，从而允许显示和点击隐形广告、下载可执行文件以及安装第三方应用等操作。它还可以打开隐藏窗口运行 JavaScript，从而可能诱使用户订阅不必要的付费服务。此外，Necro 还可以通过受感染的设备重新路由互联网流量，将其变成网络犯罪分子代理僵尸网络的一部分。↓ AhMyth – AhMyth 是一款针对 Android 设备的远程访问木马 (RAT)，通常伪装成屏幕录像机、游戏或加密货币工具等合法应用程序。安装后，它会获得大量权限，在设备重启后仍能持续存在，并窃取敏感信息，例如银行凭证、加密货币钱包信息、多重身份验证 (MFA) 代码和密码。AhMyth 还支持键盘记录、屏幕截图、摄像头和麦克风访问以及短信拦截，使其成为数据盗窃和其他恶意活动的多功能工具。全球最易受攻击的行业

2月份，教育是全球遭受攻击最多的行业，其次是电信和政府。

教育电信政府顶级勒索软件组织

这些数据基于对双重勒索软件组织运营的勒索软件“羞辱网站”的洞察，这些网站发布了受害者信息。2月份，Clop 是最猖獗的勒索软件组织，占已发布攻击总数的35% ，其次是RansomHub（占11%）和Akira（占6%）。

Clop - Clop 是一种勒索软件，自 2019 年起活跃，针对全球多个行业，包括医疗保健、金融和制造业。Clop 源自 CryptoMix，使用 .clop 扩展名加密受害者文件，并采用“双重勒索”策略，威胁受害者若不支付赎金，就泄露被盗数据。Clop 采用勒索软件即服务 (RaaS) 模式，利用漏洞、网络钓鱼和其他方法入侵系统，关闭 Windows Defender 等安全防御措施，并曾与一些备受瞩目的攻击活动有关，例如 2023 年利用 MOVEit 文件传输软件漏洞发起的攻击。RansomHub - RansomHub 是一个 RaaS 勒索软件，是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛中活跃起来，因其针对各种系统（包括 Windows、macOS、Linux 和 VMware ESXi 环境）的激进攻击活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。Akira -  Akira 勒索软件于 2023 年初首次报告，主要针对 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 进行对称加密，进行文件加密，类似于已泄露的 Conti v2 勒索软件。Akira 通过多种途径传播，包括感染电子邮件附件和 VPN 端点漏洞利用。感染后，它会加密数据并在文件名后附加“.akira”扩展名，然后发出勒索信，要求用户支付解密费用。