2025年第一季度IT威胁演变:非移动统计报告
本文统计基于卡巴斯基产品用户的检测结果,所有数据均征得用户同意。
本季度关键数字
- 卡巴斯基产品在全球范围内拦截了超过6.292亿次源自网络资源的攻击。
- 网页反病毒组件检测到8839万个独立恶意链接。
- 文件反病毒组件阻止了超过2153万个恶意及潜在有害对象。
- 检测到近1.2万个新的勒索软件变种。
- 超过8.5万用户遭遇了勒索软件攻击。
- 在数据泄露站点公布的数据中,RansomHub涉及了11%的受害者,Akira和Clop分别略低于11%。
- 近31.5万用户遭遇了挖矿程序攻击。
勒索软件
本季度趋势与亮点
执法行动成果
一项名为“Phobos Aetor”的国际联合行动(涉及美、英、德、法等国执法机构)逮捕了四名8Base组织的嫌疑成员。他们被指控利用Phobos勒索软件在全球实施了超过1000次网络攻击。嫌疑人在泰国被捕,被指控勒索了超过1600万美元的比特币。执法部门查获了40多件资产,并关闭了与该犯罪团伙相关的27台服务器。
此外,打击LockBit的行动取得进展,一名涉嫌勒索软件开发者被引渡至美国。该嫌疑人于去年八月在以色列被捕,被指控在2022年6月至2024年2月期间,因参与该团伙活动获得了超过23万美元的加密货币报酬。
漏洞利用、BYOVD与EDR绕过
本季度发现了一系列Paragon Partition Manager中的漏洞(CVE-2025-0288至CVE-2025-0289)。勒索软件团伙利用这些漏洞,在BYOVD(自带易受攻击驱动程序)攻击中获得Windows SYSTEM权限。
Akira团伙利用网络摄像头中的漏洞,试图绕过端点检测与响应(EDR)系统,并通过SMB协议加密组织网络上的文件。攻击者发现其Windows勒索软件被安全方案检测并阻止后,转向攻击目标组织中一台运行Linux、未受EDR保护的网络摄像头,通过该设备挂载网络驱动器并运行其Linux版勒索软件。
HellCat团伙利用窃取的Jira凭据攻击了包括Ascom、捷豹路虎和Affinitiv在内的一系列公司。据分析,威胁行为者通过Lumma等窃密木马感染员工电脑来获取凭证。
其他进展
不明来源泄露了Black Basta团伙的Matrix聊天记录,其中包含该团伙的攻击技术、利用的漏洞、内部结构、成员信息以及超过367个用于搜集潜在受害者数据的ZoomInfo链接。
BlackLock团伙因其数据泄露站点(DLS)存在漏洞而遭到入侵。研究人员通过该漏洞获取了该组织的配置、登录凭证、服务器命令历史等机密信息。竞争对手DragonForce利用同一漏洞篡改了其DLS,并公开了内部聊天记录和部分配置文件。
最活跃的团伙
根据报告期内各团伙在其DLS上新增受害者数量统计:
- RansomHub: 11.03%
- Akira: 10.89%
- Clop: 10.69%
新变种数量
第一季度检测到3个新的勒索软件家族和11,733个新变种,环比增长近四倍,主要原因是大量样本被归类为Trojan-Ransom.Win32.Gen家族。
受攻击用户数量
本季度全球共有85,474名卡巴斯基用户遭遇勒索软件攻击。
攻击地理分布
受勒索软件攻击最严重的10个国家/地区
| 排名 | 国家/地区 | 受攻击用户占比* |
|---|---|---|
| 1 | 阿曼 | 0.661% |
| 2 | 利比亚 | 0.643% |
| 3 | 韩国 | 0.631% |
| 4 | 中国 | 0.626% |
| 5 | 孟加拉国 | 0.472% |
| 6 | 伊拉克 | 0.452% |
| 7 | 卢旺达 | 0.443% |
| 8 | 巴基斯坦 | 0.441% |
| 9 | 塔吉克斯坦 | 0.439% |
| 10 | 斯里兰卡 | 0.419% |
最常见的10大勒索软件家族
| 排名 | 名称 | 检测名(示例) | 占比* |
|---|---|---|---|
| 1 | (通用检测) | Trojan-Ransom.Win32.Gen | 25.10% |
| 2 | WannaCry | Trojan-Ransom.Win32.Wanna | 8.19% |
| 3 | (通用检测) | Trojan-Ransom.Win32.Encoder | 6.70% |
| 4 | (通用检测) | Trojan-Ransom.Win32.Crypren | 6.65% |
| 5 | (通用检测) | Trojan-Ransom.Win32.Agent | 3.95% |
| 6 | Cryakl/CryLock | Trojan-Ransom.Win32.Cryakl | 3.16% |
| 7 | LockBit | Trojan-Ransom.Win32.Lockbit | 3.15% |
| 8 | (通用检测) | Trojan-Ransom.Win32.Phny | 2.90% |
| 9 | PolyRansom/VirLock | Virus.Win32.PolyRansom | 2.73% |
| 10 | (通用检测) | Trojan-Ransom.Win32.Crypmod | 2.66% |
*占比指受该特定家族攻击的用户数占所有受此类威胁攻击用户数的百分比。
挖矿程序
新变种数量
第一季度检测到5,467个新的挖矿程序变种。
受攻击用户数量
本季度全球共有315,701名卡巴斯基用户遭遇挖矿程序攻击。
攻击地理分布
受挖矿程序攻击最严重的10个国家/地区
| 排名 | 国家/地区 | 受攻击用户占比* |
|---|---|---|
| 1 | 塞内加尔 | 2.59% |
| 2 | 哈萨克斯坦 | 1.36% |
| 3 | 巴拿马 | 1.28% |
| 4 | 白俄罗斯 | 1.22% |
| 5 | 埃塞俄比亚 | 1.09% |
| 6 | 塔吉克斯坦 | 1.07% |
| 7 | 摩尔多瓦 | 0.90% |
| 8 | 多米尼加共和国 | 0.86% |
| 9 | 吉尔吉斯斯坦 | 0.84% |
| 10 | 坦桑尼亚 | 0.82% |
*注同上。
针对macOS的攻击
第一季度发现新的macOS木马加载器,这是ReaderUpdate的Go语言变种(此前已有Python、Crystal、Rust、Nim版本),通常用于投放侵入性广告软件,但也可能用于投放任意木马。
研究人员还发现了通过虚假在线职位面试邀请分发的Ferret家族新加载器,该活动始于2022年12月,早期版本会投放后门和加密货币窃取程序。
第一季度macOS面临的20大威胁
排名显示,大量最常见威胁是潜在有害应用(PUA),如广告软件、间谍软件、虚假清理工具及NetTool等反向代理。前述Amos窃取木马热度上升,排名第三的Trojan.OSX.Agent.gen是一个检测多种恶意软件的通用检测名。
macOS威胁地理分布
| 排名 | 国家/地区 | 2024年第四季度受攻击用户占比 | 2025年第一季度受攻击用户占比 |
|---|---|---|---|
| 1 | 法国 | 0.96% | 1.52% |
| 2 | 中国香港 | 0.83% | 1.21% |
| 3 | 西班牙 | 1.02% | 1.16% |
| 4 | 德国 | 0.74% | 0.96% |
| 5 | 墨西哥 | 0.74% | 0.85% |
| 6 | 印度 | 0.51% | 0.84% |
| 7 | 中国大陆 | 0.68% | 0.73% |
| 8 | 巴西 | 0.61% | 0.66% |
| 9 | 俄罗斯 | 0.53% | 0.50% |
| 10 | 新加坡 | 0.75% | 0.32% |
物联网威胁统计
本节基于卡巴斯基物联网蜜罐的攻击数据,攻击源地理位置基于攻击设备的IP地址。
2025年第一季度,通过Telnet协议攻击卡巴斯基蜜罐的设备比例在2024年底下降后再次上升。Telnet和SSH攻击的分布与2024年第四季度相比几乎没有变化。
攻击物联网设备的10大威胁
最普遍的物联网威胁仍以各种Mirai DDoS僵尸网络变种为主。BitCoinMiner在第一季度也活跃传播,占检测量的7.32%。NyaDrop僵尸网络的攻击数量(19.31%)较2024年第四季度有所下降。
物联网蜜罐攻击地理分布
在SSH攻击来源国家/地区中,中国大陆的份额下降,而来自巴西的攻击明显增加。来自美国、印度尼西亚、澳大利亚和越南的攻击也略有上升。
在Telnet攻击来源中,来自中国和印度的攻击份额下降,而巴西、尼日利亚和印度尼西亚的份额显著增加。
通过网络资源发起的攻击
本节统计基于网页反病毒组件的检测结果,这些攻击可能来自恶意网页、托管漏洞利用的网站、僵尸网络C&C中心等。
网络攻击源TOP 10国家/地区 第一季度,卡巴斯基解决方案在全球范围内拦截了6.292亿次来自网络资源的攻击。网页反病毒检测到8839万个独立URL。
用户面临最高在线感染风险的20个国家/地区 该排名通过计算各国/地区受网页反病毒触发的卡巴斯基用户百分比得出,仅统计恶意软件(Malware)类别的攻击。
全球平均,本季度有6.46% 的用户计算机至少遭受过一次基于网络的恶意软件攻击。
本地威胁
本节统计基于文件反病毒组件对硬盘文件(创建或访问时)和可移动存储介质的扫描结果。
用户面临最高本地感染风险的20个国家/地区 该排名通过计算各国/地区受文件反病毒触发的卡巴斯基用户百分比得出,仅统计恶意软件(Malware)类别的本地威胁。
第一季度,文件反病毒检测到2153万个恶意和潜在有害对象。全球平均,本季度有13.62% 的用户计算机至少记录到一次本地恶意软件威胁。