網絡犯罪分子日趨狡猾，其中SafePay已崛起為頂級勒索軟件集團，FakeUpdates仍是一個持續存在的全球性威脅。

2025年6月?–全球領先的AI驅動型云安全平臺提供商 Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）發布了2025年5月全球威脅指數報告。SafePay作為一個近期出現但發展迅速的勒索軟件集團，本月超越其他組織，成為采用雙重勒索策略的勒索軟件集團中最為活躍的威脅行為體。另一方面FakeUpdates繼續作為最廣泛傳播的惡意軟件，對全球機構造成影響。教育行業仍是最受針對的行業，反映出機構中持續存在的漏洞。

今年5月，歐洲刑警組織（Europol）、美國聯邦調查局（FBI）、微軟以及其他合作伙伴聯合發起了一項重大行動，打擊知名的惡意軟件即服務（malware-as-a-service）平臺 Lumma。此次打擊行動查封了數千個域名，嚴重擾亂了該平臺的運營。然而，據稱Lumma的核心服務器仍在持續運行，開發者也迅速恢復了其基礎設施。此次行動雖然在技術層面造成了明顯破壞，但與 Lumma 相關的數據仍在持續傳播，引發人們對此次打擊行動長期效果的擔憂。

Check Point 公司威脅情報總監 Lotem Finkelstein 表示：“5 月的全球威脅指數數據凸顯了網絡犯罪分子戰術的日益復雜化。隨著 SafePay 等團伙的崛起以及 FakeUpdates 等持續性威脅的存在，用戶必須采取主動、多層級的安全措施。隨著網絡威脅不斷升級，借助實時威脅情報和強大的防御體系，提前應對不斷演變的攻擊至關重要。”

頂級惡意軟件家族

(箭頭表示與4月相比的排名變化。)

1.?? FakeUpdates?- Fakeupdates（又稱SocGholish）是一種下載器惡意軟件，最初于2018年被發現。它通過受感染或惡意網站上的驅動程序下載傳播，誘使用戶安裝假冒的瀏覽器更新。

2.?? Remcos -?Remcos 是一種遠程訪問木馬（RAT），首次于 2016 年被觀察到，常通過釣魚活動中的惡意文檔進行傳播。它設計用于繞過 Windows 安全機制（如 UAC），并以提升權限執行惡意軟件，使其成為威脅行為者的多功能工具。

3.??↑ Androxgh0st -?AndroxGh0st 是一種基于 Python 的惡意軟件，針對使用 Laravel PHP 框架的應用程序，通過掃描暴露的 .env 文件中包含的敏感信息（如 AWS、Twilio、Office 365 和 SendGrid 等服務的登錄憑據）進行攻擊。它通過利用僵尸網絡識別運行 Laravel 的網站并提取機密數據。一旦獲得訪問權限，攻擊者可部署額外惡意軟件、建立后門連接，并利用云資源進行加密貨幣挖掘等活動。

頂級勒索軟件集團

本月，SafePay 成為最主要的勒索軟件威脅，其新一批運營者正同時針對大型企業和小型企業發起攻擊。這些集團所采用的戰術日益復雜，彼此間的競爭也愈發激烈。

SafePay?- SafePay 是一個于 2024 年 11 月首次被發現的勒索軟件集團，該集團采用雙重勒索模式——加密受害者文件的同時竊取敏感數據以加大支付壓力。盡管未以勒索軟件即服務（RaaS）模式運營，SafePay仍報告了異常龐大的受害者數量。其集中化、內部驅動的組織結構導致戰術、技術與程序（TTPs）高度一致，并能精準定位目標。

Qilin?- Qilin（又稱Agenda）是一個勒索軟件即服務（RaaS）犯罪組織，與附屬團體合作對受感染組織進行數據加密和竊取，隨后索要贖金。該勒索軟件變種于2022年7月首次被發現，采用Golang語言開發。該集團以大型企業和高價值機構為主要目標，特別針對醫療和教育行業。Qilin通常通過含有惡意鏈接的釣魚郵件滲透受害者系統，以獲取網絡訪問權限并竊取敏感信息。入侵后，Qilin通常在受害者基礎設施中橫向移動，尋找關鍵數據進行加密。

Play?- Play 勒索軟件，又稱 PlayCrypt，是一種于 2022 年 6 月首次出現的勒索軟件。該勒索軟件針對北美、南美和歐洲的各類企業和關鍵基礎設施，截至 2023 年 10 月，已影響約 300 個實體。Play 勒索軟件通常通過被入侵的有效賬戶或利用未修補的漏洞（如 Fortinet SSL VPN 中的漏洞）進入網絡。一旦進入系統，它會使用“利用現有資源的二進制文件”（LOLBins）等技術執行數據竊取和憑證盜取等任務。

數據基于雙重勒索勒索軟件集團運營的“羞恥網站”提供的洞察。

頂級移動惡意軟件

Anubis?- Anubis 是一種多功能銀行木馬，最初出現在 Android 設備上，并已發展出高級功能，包括通過攔截基于短信的一次性密碼（OTP）繞過多因素認證（MFA）、鍵盤記錄、音頻錄制以及勒索軟件功能。它通常通過 Google Play 商店中的惡意應用進行分發，并已成為最常見的移動惡意軟件家族之一。此外，Anubis還具備遠程訪問木馬（RAT）功能，可對受感染系統進行全面監控和控制。

AhMyth?- AhMyth是一種針對Android設備的遠程訪問木馬（RAT），通常偽裝成合法應用程序，如屏幕錄制工具、 游戲 或加密貨幣工具。一旦安裝，它將獲得廣泛權限以在重啟后持續運行，并竊取敏感信息，包括銀行憑證、加密貨幣錢包詳情、多因素認證（MFA）代碼及密碼。AhMyth還支持鍵盤記錄、屏幕截圖、攝像頭和麥克風訪問，以及短信攔截，使其成為數據竊取和其他惡意活動的多功能工具。

↑ Necro?-?Necro 是一種惡意 Android 下載器，可根據創建者的指令從受感染設備下載并執行有害組件。該惡意軟件已被發現存在于 Google Play 上的多個熱門應用中，以及 Spotify、WhatsApp 和 Minecraft 等非官方平臺上的應用修改版本中。Necro 能夠向智能 手機 下載危險模塊，執行顯示和點擊不可見廣告、下載可執行文件以及安裝第三方應用等操作。它還能打開隱藏窗口運行 JavaScript，可能導致用戶被訂閱到不需要的付費服務。此外，Necro 可將 互聯網 流量通過受感染設備進行轉發，將其轉化為網絡犯罪分子的代理僵尸網絡的一部分。

5月份的數據凸顯了復雜多階段惡意軟件攻擊的持續上升，其中SafePay成為突出的勒索軟件威脅。盡管FakeUpdates仍保持最廣泛傳播的惡意軟件地位，但SafePay等新威脅行為者以及針對Lumma信息竊取器的持續攻擊，表明網絡攻擊的復雜性正在不斷演進。教育行業仍為主要目標，進一步強調了組織需采取主動、分層的安全措施以抵御日益復雜的威脅。