阿里云優(yōu)惠券 先領(lǐng)券再下單

網(wǎng)絡(luò)犯罪分子日趨狡猾，其中SafePay已崛起為頂級(jí)勒索軟件集團(tuán)，F(xiàn)akeUpdates仍是一個(gè)持續(xù)存在的全球性威脅。

2025年6月 –全球領(lǐng)先的AI驅(qū)動(dòng)型云安全平臺(tái)提供商 Check Point® 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了2025年5月全球威脅指數(shù)報(bào)告。SafePay作為一個(gè)近期出現(xiàn)但發(fā)展迅速的勒索軟件集團(tuán)，本月超越其他組織，成為采用雙重勒索策略的勒索軟件集團(tuán)中最為活躍的威脅行為體。另一方面FakeUpdates繼續(xù)作為最廣泛傳播的惡意軟件，對(duì)全球機(jī)構(gòu)造成影響。教育行業(yè)仍是最受針對(duì)的行業(yè)，反映出機(jī)構(gòu)中持續(xù)存在的漏洞。

今年5月，歐洲刑警組織（Europol）、美國(guó)聯(lián)邦調(diào)查局（FBI）、微軟以及其他合作伙伴聯(lián)合發(fā)起了一項(xiàng)重大行動(dòng)，打擊知名的惡意軟件即服務(wù)（malware-as-a-service）平臺(tái) Lumma。此次打擊行動(dòng)查封了數(shù)千個(gè)域名，嚴(yán)重?cái)_亂了該平臺(tái)的運(yùn)營(yíng)。然而，據(jù)稱Lumma的核心服務(wù)器仍在持續(xù)運(yùn)行，開發(fā)者也迅速恢復(fù)了其基礎(chǔ)設(shè)施。此次行動(dòng)雖然在技術(shù)層面造成了明顯破壞，但與 Lumma 相關(guān)的數(shù)據(jù)仍在持續(xù)傳播，引發(fā)人們對(duì)此次打擊行動(dòng)長(zhǎng)期效果的擔(dān)憂。

Check Point 公司威脅情報(bào)總監(jiān) Lotem Finkelstein 表示：“5 月的全球威脅指數(shù)數(shù)據(jù)凸顯了網(wǎng)絡(luò)犯罪分子戰(zhàn)術(shù)的日益復(fù)雜化。隨著 SafePay 等團(tuán)伙的崛起以及 FakeUpdates 等持續(xù)性威脅的存在，用戶必須采取主動(dòng)、多層級(jí)的安全措施。隨著網(wǎng)絡(luò)威脅不斷升級(jí)，借助實(shí)時(shí)威脅情報(bào)和強(qiáng)大的防御體系，提前應(yīng)對(duì)不斷演變的攻擊至關(guān)重要。”

頂級(jí)惡意軟件家族

(箭頭表示與4月相比的排名變化。)

1.   FakeUpdates - Fakeupdates（又稱SocGholish）是一種下載器惡意軟件，最初于2018年被發(fā)現(xiàn)。它通過受感染或惡意網(wǎng)站上的驅(qū)動(dòng)程序下載傳播，誘使用戶安裝假冒的瀏覽器更新。

2.   Remcos - Remcos 是一種遠(yuǎn)程訪問木馬（RAT），首次于 2016 年被觀察到，常通過釣魚活動(dòng)中的惡意文檔進(jìn)行傳播。它設(shè)計(jì)用于繞過 Windows 安全機(jī)制（如 UAC），并以提升權(quán)限執(zhí)行惡意軟件，使其成為威脅行為者的多功能工具。

3.  ↑ Androxgh0st - AndroxGh0st 是一種基于 Python 的惡意軟件，針對(duì)使用 Laravel PHP 框架的應(yīng)用程序，通過掃描暴露的 .env 文件中包含的敏感信息（如 AWS、Twilio、Office 365 和 SendGrid 等服務(wù)的登錄憑據(jù)）進(jìn)行攻擊。它通過利用僵尸網(wǎng)絡(luò)識(shí)別運(yùn)行 Laravel 的網(wǎng)站并提取機(jī)密數(shù)據(jù)。一旦獲得訪問權(quán)限，攻擊者可部署額外惡意軟件、建立后門連接，并利用云資源進(jìn)行加密貨幣挖掘等活動(dòng)。

頂級(jí)勒索軟件集團(tuán)

本月，SafePay 成為最主要的勒索軟件威脅，其新一批運(yùn)營(yíng)者正同時(shí)針對(duì)大型企業(yè)和小型企業(yè)發(fā)起攻擊。這些集團(tuán)所采用的戰(zhàn)術(shù)日益復(fù)雜，彼此間的競(jìng)爭(zhēng)也愈發(fā)激烈。

SafePay - SafePay 是一個(gè)于 2024 年 11 月首次被發(fā)現(xiàn)的勒索軟件集團(tuán)，該集團(tuán)采用雙重勒索模式——加密受害者文件的同時(shí)竊取敏感數(shù)據(jù)以加大支付壓力。盡管未以勒索軟件即服務(wù)（RaaS）模式運(yùn)營(yíng)，SafePay仍報(bào)告了異常龐大的受害者數(shù)量。其集中化、內(nèi)部驅(qū)動(dòng)的組織結(jié)構(gòu)導(dǎo)致戰(zhàn)術(shù)、技術(shù)與程序（TTPs）高度一致，并能精準(zhǔn)定位目標(biāo)。

Qilin - Qilin（又稱Agenda）是一個(gè)勒索軟件即服務(wù)（RaaS）犯罪組織，與附屬團(tuán)體合作對(duì)受感染組織進(jìn)行數(shù)據(jù)加密和竊取，隨后索要贖金。該勒索軟件變種于2022年7月首次被發(fā)現(xiàn)，采用Golang語(yǔ)言開發(fā)。該集團(tuán)以大型企業(yè)和高價(jià)值機(jī)構(gòu)為主要目標(biāo)，特別針對(duì)醫(yī)療和教育行業(yè)。Qilin通常通過含有惡意鏈接的釣魚郵件滲透受害者系統(tǒng)，以獲取網(wǎng)絡(luò)訪問權(quán)限并竊取敏感信息。入侵后，Qilin通常在受害者基礎(chǔ)設(shè)施中橫向移動(dòng)，尋找關(guān)鍵數(shù)據(jù)進(jìn)行加密。

Play - Play 勒索軟件，又稱 PlayCrypt，是一種于 2022 年 6 月首次出現(xiàn)的勒索軟件。該勒索軟件針對(duì)北美、南美和歐洲的各類企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施，截至 2023 年 10 月，已影響約 300 個(gè)實(shí)體。Play 勒索軟件通常通過被入侵的有效賬戶或利用未修補(bǔ)的漏洞（如 Fortinet SSL VPN 中的漏洞）進(jìn)入網(wǎng)絡(luò)。一旦進(jìn)入系統(tǒng)，它會(huì)使用“利用現(xiàn)有資源的二進(jìn)制文件”（LOLBins）等技術(shù)執(zhí)行數(shù)據(jù)竊取和憑證盜取等任務(wù)。

數(shù)據(jù)基于雙重勒索勒索軟件集團(tuán)運(yùn)營(yíng)的“羞恥網(wǎng)站”提供的洞察。

頂級(jí)移動(dòng)惡意軟件

Anubis - Anubis 是一種多功能銀行木馬，最初出現(xiàn)在 Android 設(shè)備上，并已發(fā)展出高級(jí)功能，包括通過攔截基于短信的一次性密碼（OTP）繞過多因素認(rèn)證（MFA）、鍵盤記錄、音頻錄制以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應(yīng)用進(jìn)行分發(fā)，并已成為最常見的移動(dòng)惡意軟件家族之一。此外，Anubis還具備遠(yuǎn)程訪問木馬（RAT）功能，可對(duì)受感染系統(tǒng)進(jìn)行全面監(jiān)控和控制。

AhMyth - AhMyth是一種針對(duì)Android設(shè)備的遠(yuǎn)程訪問木馬（RAT），通常偽裝成合法應(yīng)用程序，如屏幕錄制工具、游戲或加密貨幣工具。一旦安裝，它將獲得廣泛權(quán)限以在重啟后持續(xù)運(yùn)行，并竊取敏感信息，包括銀行憑證、加密貨幣錢包詳情、多因素認(rèn)證（MFA）代碼及密碼。AhMyth還支持鍵盤記錄、屏幕截圖、攝像頭和麥克風(fēng)訪問，以及短信攔截，使其成為數(shù)據(jù)竊取和其他惡意活動(dòng)的多功能工具。

↑ Necro - Necro 是一種惡意 Android 下載器，可根據(jù)創(chuàng)建者的指令從受感染設(shè)備下載并執(zhí)行有害組件。該惡意軟件已被發(fā)現(xiàn)存在于 Google Play 上的多個(gè)熱門應(yīng)用中，以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺(tái)上的應(yīng)用修改版本中。Necro 能夠向智能手機(jī)下載危險(xiǎn)模塊，執(zhí)行顯示和點(diǎn)擊不可見廣告、下載可執(zhí)行文件以及安裝第三方應(yīng)用等操作。它還能打開隱藏窗口運(yùn)行 JavaScript，可能導(dǎo)致用戶被訂閱到不需要的付費(fèi)服務(wù)。此外，Necro 可將互聯(lián)網(wǎng)流量通過受感染設(shè)備進(jìn)行轉(zhuǎn)發(fā)，將其轉(zhuǎn)化為網(wǎng)絡(luò)犯罪分子的代理僵尸網(wǎng)絡(luò)的一部分。

5月份的數(shù)據(jù)凸顯了復(fù)雜多階段惡意軟件攻擊的持續(xù)上升，其中SafePay成為突出的勒索軟件威脅。盡管FakeUpdates仍保持最廣泛傳播的惡意軟件地位，但SafePay等新威脅行為者以及針對(duì)Lumma信息竊取器的持續(xù)攻擊，表明網(wǎng)絡(luò)攻擊的復(fù)雜性正在不斷演進(jìn)。教育行業(yè)仍為主要目標(biāo)，進(jìn)一步強(qiáng)調(diào)了組織需采取主動(dòng)、分層的安全措施以抵御日益復(fù)雜的威脅。

關(guān)于 Check Point 軟件技術(shù)有限公司 

Check Point 軟件技術(shù)有限公司（www.checkpoint.com）是數(shù)字信任領(lǐng)域的領(lǐng)先保護(hù)者，通過 AI 驅(qū)動(dòng)的網(wǎng)絡(luò)安全解決方案，保護(hù)全球超過 100,000 家組織免受網(wǎng)絡(luò)威脅。Check Point 通過其 Infinity 平臺(tái)與開放生態(tài)系統(tǒng)，堅(jiān)持“預(yù)防為先”的理念，在提升安全效能的同時(shí)降低企業(yè)風(fēng)險(xiǎn)。依托以 SASE 為核心的混合網(wǎng)格架構(gòu)，Infinity 平臺(tái)實(shí)現(xiàn)了本地、云端及辦公環(huán)境的統(tǒng)一管理，為企業(yè)及服務(wù)提供商帶來靈活、簡(jiǎn)潔、可擴(kuò)展的網(wǎng)絡(luò)安全能力。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最新保護(hù)措施。此外，該團(tuán)隊(duì)由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開合作。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！