二月對于勒索軟件領(lǐng)域最活躍的組織之一——Clop Ransom 組織來說尤其成功。2 月份，該組織在其網(wǎng)站上公布了數(shù)十名受害者名單，這些受害者來自各個行業(yè)，包括制造業(yè)、運輸業(yè)、IT 和技術(shù)服務(wù)業(yè)，其中幾家大型企業(yè)也受到了影響。該組織一直保持高度活躍，專注于利用 CLEO 漏洞，這是他們利用文件共享軟件零日漏洞的策略的一部分。這種方法使他們能夠進行大規(guī)模數(shù)據(jù)泄露和勒索。Clop 的行動主要圍繞成功入侵后進行大規(guī)模數(shù)據(jù)勒索。值得注意的是，該組織兩年前因其大規(guī)模 MOVEit 攻擊而首次引起廣泛關(guān)注，此次攻擊影響了超過 2600 個組織和近 9000 萬個人。

2025年2月“十惡不赦”

*箭頭表示與上個月相比的排名變化

FakeUpdates 是 2 月份最流行的惡意軟件，緊隨其后的是 Androxgh0st 和 Remcos，它們均影響了全球 3% 的組織。

1. ? FakeUpdates – FakeUpdates，又名 SocGholish，是一種下載器惡意軟件，于 2018 年首次被發(fā)現(xiàn)。它主要通過在受感染或惡意網(wǎng)站上進行路過式下載進行傳播，誘使用戶安裝虛假的瀏覽器更新。該惡意軟件與俄羅斯黑客組織 Evil Corp 有關(guān)，并經(jīng)常用于在初始感染后投放二次有效載荷。
2. ↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的惡意軟件，主要針對基于 Laravel PHP 框架構(gòu)建的應(yīng)用程序。它會掃描暴露的 .env 文件，這些文件通常包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服務(wù)的登錄憑據(jù)。該惡意軟件通過僵尸網(wǎng)絡(luò)運行，該僵尸網(wǎng)絡(luò)會識別運行 Laravel 的網(wǎng)站并提取機密數(shù)據(jù)。一旦攻擊者獲得訪問權(quán)限，他們就可以部署其他惡意軟件、建立后門連接，并利用云資源進行加密貨幣挖礦等活動。
3. ? Remcos — Remcos 是一種遠程訪問木馬 (RAT)，于 2016 年首次被發(fā)現(xiàn)。它通常通過網(wǎng)絡(luò)釣魚活動中的惡意文檔進行傳播。該 RAT 旨在繞過 Windows 安全功能，例如用戶帳戶控制 (UAC)，從而以提升的權(quán)限執(zhí)行惡意軟件。因此，它成為網(wǎng)絡(luò)犯罪分子的多功能工具。
4. ↑ AsyncRAT – AsyncRAT 是一種針對 Windows 系統(tǒng)的遠程訪問木馬 (RAT)，于 2019 年首次被發(fā)現(xiàn)。它會將系統(tǒng)信息泄露到命令與控制服務(wù)器，并可以執(zhí)行各種命令，例如下載插件、終止進程、截取屏幕截圖以及自我更新。AsyncRAT 通常通過網(wǎng)絡(luò)釣魚活動進行傳播，用于數(shù)據(jù)竊取和系統(tǒng)入侵。
5. ↑ AgentTesla — AgentTesla 是一種高級 RAT（遠程訪問木馬），可充當鍵盤記錄器和密碼竊取程序。AgentTesla 自 2014 年起活躍，可以監(jiān)控和收集受害者的鍵盤輸入和系統(tǒng)剪貼板、記錄屏幕截圖，并竊取受害者設(shè)備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的登錄憑證。AgentTesla 公開作為合法 RAT 出售，用戶許可證費用為 15 至 69 美元。
6. ↓ Formbook - Formbook 于 2016 年首次被發(fā)現(xiàn)，是一款主要針對 Windows 系統(tǒng)的信息竊取惡意軟件。該惡意軟件會從各種 Web 瀏覽器收集憑證、收集屏幕截圖、監(jiān)控和記錄鍵盤輸入，并下載和執(zhí)行其他有效載荷。該惡意軟件通過網(wǎng)絡(luò)釣魚活動、惡意電子郵件附件和受感染網(wǎng)站進行傳播，通常偽裝成合法文件。
7. ↑ Rilide – Rilide 是一款惡意瀏覽器擴展程序，主要針對基于 Chromium 的瀏覽器，例如 Chrome、Edge、Brave 和 Opera。它偽裝成合法的 Google Drive 擴展程序，使威脅行為者能夠監(jiān)控瀏覽歷史記錄、截取屏幕截圖，并注入惡意腳本以從加密貨幣交易所提取資金。值得注意的是，Rilide 可以模擬對話框，誘騙用戶泄露雙因素身份驗證 (2FA) 信息，從而促成未經(jīng)授權(quán)的加密貨幣交易。其傳播方式包括惡意的 Microsoft Publisher 文件和推廣虛假軟件安裝程序的欺騙性 Google 廣告。
8. ↓ Phorpiex – Phorpiex，又名 Trik，是一個至少自 2010 年以來就活躍的僵尸網(wǎng)絡(luò)，主要針對 Windows 系統(tǒng)。在巔峰時期，Phorpiex 控制了超過一百萬臺受感染的主機。Phorpiex 因通過垃圾郵件活動傳播其他惡意軟件家族（包括勒索軟件和加密貨幣挖礦軟件）而臭名昭著，并且參與了大規(guī)模的性勒索活動。
9. ? Amadey – Amadey 是一個模塊化僵尸網(wǎng)絡(luò)，出現(xiàn)于 2018 年，主要針對 Windows 系統(tǒng)。它既是信息竊取者，又是惡意軟件加載器，能夠進行偵察、數(shù)據(jù)泄露，并部署其他有效載荷，包括銀行木馬和分布式拒絕服務(wù) (DDoS) 工具。Amadey 主要通過 RigEK 和 Fallout EK 等漏洞利用工具包、網(wǎng)絡(luò)釣魚電子郵件以及 SmokeLoader 等其他惡意軟件進行傳播。
10. ↑ Mirai – Mirai 是一種惡意軟件，它會將運行 Linux 的聯(lián)網(wǎng)設(shè)備（尤其是 IP 攝像頭和家用路由器等物聯(lián)網(wǎng) (IoT) 設(shè)備）轉(zhuǎn)變?yōu)檫h程控制的僵尸網(wǎng)絡(luò)。Mirai 于 2016 年 8 月首次被發(fā)現(xiàn)，因策劃了有記錄以來的一些最大規(guī)模的 DDoS 攻擊而惡名遠播，其中包括針對安全記者 Brian Krebs 和 DNS 提供商 Dyn 網(wǎng)站的攻擊。該惡意軟件通過掃描互聯(lián)網(wǎng)上仍配置默認出廠登錄憑據(jù)的物聯(lián)網(wǎng)設(shè)備進行傳播，并利用這些憑據(jù)獲取控制權(quán)。自 2016 年 10 月其源代碼公開發(fā)布以來，已出現(xiàn)眾多變種。

熱門移動惡意軟件

上個月，Anubis在最流行的移動惡意軟件中排名第一，其次是Necro和AhMyth。

1. ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設(shè)備，并已發(fā)展到包含多種高級功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗證 (MFA)、鍵盤記錄、錄音以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應(yīng)用進行傳播，并已成為最流行的移動惡意軟件家族之一。此外，Anubis 還包含遠程訪問木馬 (RAT) 功能，可對受感染系統(tǒng)進行廣泛的監(jiān)視和控制。
2. ↑ Necro – Necro 是一款惡意 Android 下載程序，它會根據(jù)其創(chuàng)建者的命令，在受感染的設(shè)備上檢索并執(zhí)行有害組件。它已在 Google Play 上的多款熱門應(yīng)用以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的應(yīng)用修改版中被發(fā)現(xiàn)。Necro 可以將危險模塊下載到智能手機上，從而允許顯示和點擊隱形廣告、下載可執(zhí)行文件以及安裝第三方應(yīng)用等操作。它還可以打開隱藏窗口運行 JavaScript，從而可能誘使用戶訂閱不必要的付費服務(wù)。此外，Necro 還可以通過受感染的設(shè)備重新路由互聯(lián)網(wǎng)流量，將其變成網(wǎng)絡(luò)犯罪分子代理僵尸網(wǎng)絡(luò)的一部分。
3. ↓ AhMyth – AhMyth 是一款針對 Android 設(shè)備的遠程訪問木馬 (RAT)，通常偽裝成屏幕錄像機、游戲或加密貨幣工具等合法應(yīng)用程序。安裝后，它會獲得大量權(quán)限，在設(shè)備重啟后仍能持續(xù)存在，并竊取敏感信息，例如銀行憑證、加密貨幣錢包信息、多重身份驗證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕截圖、攝像頭和麥克風訪問以及短信攔截，使其成為數(shù)據(jù)盜竊和其他惡意活動的多功能工具。

全球最易受攻擊的行業(yè)

2月份，教育是全球遭受攻擊最多的行業(yè)，其次是電信和政府。

1. 教育
2. 電信
3. 政府

頂級勒索軟件組織

這些數(shù)據(jù)基于對雙重勒索軟件組織運營的勒索軟件“羞辱網(wǎng)站”的洞察，這些網(wǎng)站發(fā)布了受害者信息。2月份，Clop 是最猖獗的勒索軟件組織，占已發(fā)布攻擊總數(shù)的35% ，其次是RansomHub（占11%）和Akira（占6%）。

1. Clop - Clop 是一種勒索軟件，自 2019 年起活躍，針對全球多個行業(yè)，包括醫(yī)療保健、金融和制造業(yè)。Clop 源自 CryptoMix，使用 .clop 擴展名加密受害者文件，并采用“雙重勒索”策略，威脅受害者若不支付贖金，就泄露被盜數(shù)據(jù)。Clop 采用勒索軟件即服務(wù) (RaaS) 模式，利用漏洞、網(wǎng)絡(luò)釣魚和其他方法入侵系統(tǒng)，關(guān)閉 Windows Defender 等安全防御措施，并曾與一些備受矚目的攻擊活動有關(guān)，例如 2023 年利用 MOVEit 文件傳輸軟件漏洞發(fā)起的攻擊。
2. RansomHub - RansomHub 是一個 RaaS 勒索軟件，是之前已知的 Knight 勒索軟件的改名版本。RansomHub 于 2024 年初在地下網(wǎng)絡(luò)犯罪論壇中活躍起來，因其針對各種系統(tǒng)（包括 Windows、macOS、Linux 和 VMware ESXi 環(huán)境）的激進攻擊活動而迅速聲名狼藉。該惡意軟件以采用復(fù)雜的加密方法而聞名。
3. Akira -  Akira 勒索軟件于 2023 年初首次報告，主要針對 Windows 和 Linux 系統(tǒng)。它使用 CryptGenRandom() 和 Chacha 2008 進行對稱加密，進行文件加密，類似于已泄露的 Conti v2 勒索軟件。Akira 通過多種途徑傳播，包括感染電子郵件附件和 VPN 端點漏洞利用。感染后，它會加密數(shù)據(jù)并在文件名后附加“.akira”擴展名，然后發(fā)出勒索信，要求用戶支付解密費用。