二月對于勒索軟件領域最活躍的組織之一——Clop Ransom 組織來說尤其成功。2 月份，該組織在其網站上公布了數十名受害者名單，這些受害者來自各個行業，包括制造業、運輸業、IT 和技術服務業，其中幾家大型企業也受到了影響。該組織一直保持高度活躍，專注于利用 CLEO 漏洞，這是他們利用文件共享軟件零日漏洞的策略的一部分。這種方法使他們能夠進行大規模數據泄露和勒索。Clop 的行動主要圍繞成功入侵后進行大規模數據勒索。值得注意的是，該組織兩年前因其大規模 MOVEit 攻擊而首次引起廣泛關注，此次攻擊影響了超過 2600 個組織和近 9000 萬個人。

2025年2月“十惡不赦”

*箭頭表示與上個月相比的排名變化

FakeUpdates 是 2 月份最流行的惡意軟件，緊隨其后的是 Androxgh0st 和 Remcos，它們均影響了全球 3% 的組織。

1. ? FakeUpdates – FakeUpdates，又名 SocGholish，是一種下載器惡意軟件，于 2018 年首次被發現。它主要通過在受感染或惡意網站上進行路過式下載進行傳播，誘使用戶安裝虛假的瀏覽器更新。該惡意軟件與俄羅斯黑客組織 Evil Corp 有關，并經常用于在初始感染后投放二次有效載荷。
2. ↑ Androxgh0st – AndroxGh0st 是一款基于 Python 的惡意軟件，主要針對基于 Laravel PHP 框架構建的應用程序。它會掃描暴露的 .env 文件，這些文件通常包含敏感信息，例如 AWS、Twilio、Office 365 和 SendGrid 等服務的登錄憑據。該惡意軟件通過僵尸網絡運行，該僵尸網絡會識別運行 Laravel 的網站并提取機密數據。一旦攻擊者獲得訪問權限，他們就可以部署其他惡意軟件、建立后門連接，并利用云資源進行加密貨幣挖礦等活動。
3. ? Remcos — Remcos 是一種遠程訪問木馬 (RAT)，于 2016 年首次被發現。它通常通過網絡釣魚活動中的惡意文檔進行傳播。該 RAT 旨在繞過 Windows 安全功能，例如用戶帳戶控制 (UAC)，從而以提升的權限執行惡意軟件。因此，它成為網絡犯罪分子的多功能工具。
4. ↑ AsyncRAT – AsyncRAT 是一種針對 Windows 系統的遠程訪問木馬 (RAT)，于 2019 年首次被發現。它會將系統信息泄露到命令與控制服務器，并可以執行各種命令，例如下載插件、終止進程、截取屏幕截圖以及自我更新。AsyncRAT 通常通過網絡釣魚活動進行傳播，用于數據竊取和系統入侵。
5. ↑ AgentTesla — AgentTesla 是一種高級 RAT（遠程訪問木馬），可充當鍵盤記錄器和密碼竊取程序。AgentTesla 自 2014 年起活躍，可以監控和收集受害者的鍵盤輸入和系統剪貼板、記錄屏幕截圖，并竊取受害者設備上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的登錄憑證。AgentTesla 公開作為合法 RAT 出售，用戶許可證費用為 15 至 69 美元。
6. ↓ Formbook - Formbook 于 2016 年首次被發現，是一款主要針對 Windows 系統的信息竊取惡意軟件。該惡意軟件會從各種 Web 瀏覽器收集憑證、收集屏幕截圖、監控和記錄鍵盤輸入，并下載和執行其他有效載荷。該惡意軟件通過網絡釣魚活動、惡意電子郵件附件和受感染網站進行傳播，通常偽裝成合法文件。
7. ↑ Rilide – Rilide 是一款惡意瀏覽器擴展程序，主要針對基于 Chromium 的瀏覽器，例如 Chrome、Edge、Brave 和 Opera。它偽裝成合法的 Google Drive 擴展程序，使威脅行為者能夠監控瀏覽歷史記錄、截取屏幕截圖，并注入惡意腳本以從加密貨幣交易所提取資金。值得注意的是，Rilide 可以模擬對話框，誘騙用戶泄露雙因素身份驗證 (2FA) 信息，從而促成未經授權的加密貨幣交易。其傳播方式包括惡意的 Microsoft Publisher 文件和推廣虛假軟件安裝程序的欺騙性 Google 廣告。
8. ↓ Phorpiex – Phorpiex，又名 Trik，是一個至少自 2010 年以來就活躍的僵尸網絡，主要針對 Windows 系統。在巔峰時期，Phorpiex 控制了超過一百萬臺受感染的主機。Phorpiex 因通過垃圾郵件活動傳播其他惡意軟件家族（包括勒索軟件和加密貨幣挖礦軟件）而臭名昭著，并且參與了大規模的性勒索活動。
9. ? Amadey – Amadey 是一個模塊化僵尸網絡，出現于 2018 年，主要針對 Windows 系統。它既是信息竊取者，又是惡意軟件加載器，能夠進行偵察、數據泄露，并部署其他有效載荷，包括銀行木馬和分布式拒絕服務 (DDoS) 工具。Amadey 主要通過 RigEK 和 Fallout EK 等漏洞利用工具包、網絡釣魚電子郵件以及 SmokeLoader 等其他惡意軟件進行傳播。
10. ↑ Mirai – Mirai 是一種惡意軟件，它會將運行 Linux 的聯網設備（尤其是 IP 攝像頭和家用路由器等物聯網 (IoT) 設備）轉變為遠程控制的僵尸網絡。Mirai 于 2016 年 8 月首次被發現，因策劃了有記錄以來的一些最大規模的 DDoS 攻擊而惡名遠播，其中包括針對安全記者 Brian Krebs 和 DNS 提供商 Dyn 網站的攻擊。該惡意軟件通過掃描互聯網上仍配置默認出廠登錄憑據的物聯網設備進行傳播，并利用這些憑據獲取控制權。自 2016 年 10 月其源代碼公開發布以來，已出現眾多變種。

熱門移動惡意軟件

上個月，Anubis在最流行的移動惡意軟件中排名第一，其次是Necro和AhMyth。

1. ? Anubis – Anubis 是一種多功能銀行木馬，起源于 Android 設備，并已發展到包含多種高級功能，例如通過攔截基于短信的一次性密碼 (OTP) 繞過多因素身份驗證 (MFA)、鍵盤記錄、錄音以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應用進行傳播，并已成為最流行的移動惡意軟件家族之一。此外，Anubis 還包含遠程訪問木馬 (RAT) 功能，可對受感染系統進行廣泛的監視和控制。
2. ↑ Necro – Necro 是一款惡意 Android 下載程序，它會根據其創建者的命令，在受感染的設備上檢索并執行有害組件。它已在 Google Play 上的多款熱門應用以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的應用修改版中被發現。Necro 可以將危險模塊下載到智能手機上，從而允許顯示和點擊隱形廣告、下載可執行文件以及安裝第三方應用等操作。它還可以打開隱藏窗口運行 JavaScript，從而可能誘使用戶訂閱不必要的付費服務。此外，Necro 還可以通過受感染的設備重新路由互聯網流量，將其變成網絡犯罪分子代理僵尸網絡的一部分。
3. ↓ AhMyth – AhMyth 是一款針對 Android 設備的遠程訪問木馬 (RAT)，通常偽裝成屏幕錄像機、游戲或加密貨幣工具等合法應用程序。安裝后，它會獲得大量權限，在設備重啟后仍能持續存在，并竊取敏感信息，例如銀行憑證、加密貨幣錢包信息、多重身份驗證 (MFA) 代碼和密碼。AhMyth 還支持鍵盤記錄、屏幕截圖、攝像頭和麥克風訪問以及短信攔截，使其成為數據盜竊和其他惡意活動的多功能工具。

全球最易受攻擊的行業

2月份，教育是全球遭受攻擊最多的行業，其次是電信和政府。

1. 教育
2. 電信
3. 政府

頂級勒索軟件組織

這些數據基于對雙重勒索軟件組織運營的勒索軟件“羞辱網站”的洞察，這些網站發布了受害者信息。2月份，Clop 是最猖獗的勒索軟件組織，占已發布攻擊總數的35% ，其次是RansomHub（占11%）和Akira（占6%）。

1. Clop - Clop 是一種勒索軟件，自 2019 年起活躍，針對全球多個行業，包括醫療保健、金融和制造業。Clop 源自 CryptoMix，使用 .clop 擴展名加密受害者文件，并采用“雙重勒索”策略，威脅受害者若不支付贖金，就泄露被盜數據。Clop 采用勒索軟件即服務 (RaaS) 模式，利用漏洞、網絡釣魚和其他方法入侵系統，關閉 Windows Defender 等安全防御措施，并曾與一些備受矚目的攻擊活動有關，例如 2023 年利用 MOVEit 文件傳輸軟件漏洞發起的攻擊。
2. RansomHub - RansomHub 是一個 RaaS 勒索軟件，是之前已知的 Knight 勒索軟件的改名版本。RansomHub 于 2024 年初在地下網絡犯罪論壇中活躍起來，因其針對各種系統（包括 Windows、macOS、Linux 和 VMware ESXi 環境）的激進攻擊活動而迅速聲名狼藉。該惡意軟件以采用復雜的加密方法而聞名。
3. Akira -  Akira 勒索軟件于 2023 年初首次報告，主要針對 Windows 和 Linux 系統。它使用 CryptGenRandom() 和 Chacha 2008 進行對稱加密，進行文件加密，類似于已泄露的 Conti v2 勒索軟件。Akira 通過多種途徑傳播，包括感染電子郵件附件和 VPN 端點漏洞利用。感染后，它會加密數據并在文件名后附加“.akira”擴展名，然后發出勒索信，要求用戶支付解密費用。