IT威胁演变:2025年第一季度非移动统计数据
本报告中的统计数据基于卡巴斯基产品的检测结果,除非另有说明。信息由同意共享统计数据的卡巴斯基用户提供。
季度数字概览
2025年第一季度:
- 卡巴斯基产品拦截了超过6.29亿次源自各种在线资源的攻击
- 网页反病毒检测到8800万个唯一链接
- 文件反病毒拦截了超过2100万个恶意和潜在不需要的对象
- 检测到近12,000个新勒索软件变种
- 超过85,000名用户遭遇勒索软件攻击
- RansomHub参与了11%的勒索软件受害者数据泄露网站(DLS)发布数据的攻击,略低于11%的用户遭遇Akira和Clop勒索软件
- 近315,000名用户面临挖矿程序威胁
勒索软件
季度趋势与亮点
执法成功
国际执法机构联合行动"Phobos Aetor"(美国、英国、德国、法国等多国参与)逮捕了四名8Base团伙的嫌疑成员。他们被指控使用Phobos勒索软件在全球实施超过1000次网络攻击。嫌疑人在泰国被捕,被控通过比特币勒索超过1600万美元。据执法官员称,这次多国行动查获了40多项资产,包括计算机、手机和加密货币钱包。此外,执法部门还关闭了与该网络犯罪团伙相关的27台服务器。
持续打击LockBit的行动导致一名疑似勒索软件开发人员被引渡到美国。该嫌疑人去年八月在以色列被捕,被指控在2022年6月至2024年2月期间因与该团伙合作获得超过23万美元的加密货币。
漏洞与攻击、BYOVD和EDR绕过
第一季度发现了一系列Paragon Partition Manager漏洞,被分配标识符CVE-2025-0288、CVE-2025-0287、CVE-2025-0286、CVE-2025-0285和CVE-2025-0289。据研究人员称,勒索软件团伙利用这些漏洞在BYOVD(自带易受攻击驱动程序)攻击中获得Windows SYSTEM权限。
Akira利用网络摄像头漏洞尝试绕过端点检测和响应(EDR),通过SMB协议加密组织网络上的文件。攻击者发现他们的Windows勒索软件被安全解决方案检测和阻止。为了绕过防护,他们在目标组织中发现了一个运行基于Linux操作系统且未受EDR保护的易受攻击的网络摄像头。攻击者通过入侵网络摄像头、挂载其他机器的网络驱动器并在摄像头上运行Linux版本的勒索软件来逃避检测。
HellCat利用受损的Jira凭证攻击了一系列公司,包括Ascom、捷豹路虎和Affinitiv。据研究人员称,威胁行为者通过使用Lumma等窃取木马感染员工计算机来获取凭证。
其他发展
一个未识别的来源发布了Black Basta团伙的Matrix聊天日志。日志包含该团伙的攻击技术和利用漏洞的信息。此外,日志还包含该组织内部结构及其成员的详细信息,以及攻击者用于收集潜在受害者数据的367多个唯一ZoomInfo链接。
BlackLock因威胁行为者的数据泄露网站(DLS)存在漏洞而遭到入侵。发现该漏洞的研究人员获得了有关该组织及其活动的机密信息,包括配置文件、登录凭证和服务器上运行的命令历史。竞争对手勒索软件组织DragonForce利用同一安全缺陷篡改了DLS。他们改变了网站外观,并公开提供了BlackLock的内部聊天日志和某些配置文件。
最多产的组织
本节重点介绍了在报告期内通过DLS添加受害者数量最多的勒索软件组织。2024年表现突出的RansomHub以11.03%的新受害者数量保持领先。Akira(10.89%)和Clop(10.69%)紧随其后。
新变种数量
第一季度,卡巴斯基解决方案检测到三个新的勒索软件家族和11,733个新变种——几乎是2024年第四季度的四倍。这是由于大量样本被我们的解决方案归类为属于Trojan-Ransom.Win32.Gen家族。
受勒索软件木马攻击的用户数量
受保护的唯一KSN用户数量为85,474。
攻击地理分布
受勒索软件木马攻击的前10个国家和地区
| 排名 | 国家/地区 | 百分比 |
|---|---|---|
| 1 | 阿曼 | 0.661 |
| 2 | 利比亚 | 0.643 |
| 3 | 韩国 | 0.631 |
| 4 | 中国 | 0.626 |
| 5 | 孟加拉国 | 0.472 |
| 6 | 伊拉克 | 0.452 |
| 7 | 卢旺达 | 0.443 |
| 8 | 巴基斯坦 | 0.441 |
| 9 | 塔吉克斯坦 | 0.439 |
| 10 | 斯里兰卡 | 0.419 |
*排除卡巴斯基产品用户相对较少(低于50,000)的国家和地区 **受勒索软件木马攻击的计算机唯一用户占该国/地区所有卡巴斯基产品唯一用户的百分比
前10个最常见的勒索软件木马家族
| 名称 | 检测名称 | 百分比 |
|---|---|---|
| 1 | (通用检测) | Trojan-Ransom.Win32.Gen |
| 2 | WannaCry | Trojan-Ransom.Win32.Wanna |
| 3 | (通用检测) | Trojan-Ransom.Win32.Encoder |
| 4 | (通用检测) | Trojan-Ransom.Win32.Crypren |
| 5 | (通用检测) | Trojan-Ransom.Win32.Agent |
| 6 | Cryakl/CryLock | Trojan-Ransom.Win32.Cryakl |
| 7 | LockBit | Trojan-Ransom.Win32.Lockbit |
| 8 | (通用检测) | Trojan-Ransom.Win32.Phny |
| 9 | PolyRansom/VirLock | Virus.Win32.PolyRansom / Trojan-Ransom.Win32.PolyRansom |
| 10 | (通用检测) | Trojan-Ransom.Win32.Crypmod |
*受特定勒索软件木马家族攻击的唯一卡巴斯基产品用户占所有受此类威胁攻击的唯一用户的百分比
挖矿程序
新变种数量
2025年第一季度,卡巴斯基解决方案检测到5,467个新挖矿程序变种。
受挖矿程序攻击的用户数量
挖矿程序在第一季度相当活跃。在报告期内,我们检测到全球315,701名唯一卡巴斯基产品用户的计算机遭到挖矿程序攻击。
攻击地理分布
受挖矿程序攻击的前10个国家和地区
| 排名 | 国家/地区 | 百分比 |
|---|---|---|
| 1 | 塞内加尔 | 2.59 |
| 2 | 哈萨克斯坦 | 1.36 |
| 3 | 巴拿马 | 1.28 |
| 4 | 白俄罗斯 | 1.22 |
| 5 | 埃塞俄比亚 | 1.09 |
| 6 | 塔吉克斯坦 | 1.07 |
| 7 | 摩尔多瓦 | 0.90 |
| 8 | 多米尼加共和国 | 0.86 |
| 9 | 吉尔吉斯斯坦 | 0.84 |
| 10 | 坦桑尼亚 | 0.82 |
*排除卡巴斯基产品用户相对较少(低于50,000)的国家和地区 **受挖矿程序攻击的计算机唯一用户占该国/地区所有卡巴斯基产品唯一用户的百分比
macOS攻击
第一季度发现了一个新的macOS木马加载器。这是基于Go的ReaderUpdate变种,之前已有Python、Crystal、Rust和Nim版本。这些加载器通常用于下载侵入性广告软件,但也可以传递任何类型的木马。
在报告期内,研究人员发现了Ferret恶意软件家族的新加载器,攻击者通过虚假的在线工作面试邀请进行分发。这些木马被认为是自2022年12月开始的一项持续活动的一部分。Ferret家族的最初成员可追溯到2024年底。过去版本的加载器既传递后门又传递加密货币窃取程序。
在整个第一季度,各种修改的Amos窃取器是最积极分发的木马。Amos旨在窃取用户密码、加密货币钱包数据、浏览器cookie和文档。在此活动中,威胁行为者经常修改其木马混淆技术以逃避检测,生成数千个混淆文件以压倒安全解决方案。
macOS前20大威胁
*遇到此恶意软件的唯一用户占所有受攻击的卡巴斯基macOS安全解决方案用户的百分比 *由于某些检测结果被追溯修订,上一季度的数据可能与之前发布的数据略有不同
与往常一样,macOS最常见威胁的很大一部分由潜在不需要的应用程序组成:广告软件、跟踪用户活动的间谍软件、虚假清理程序和像NetTool这样的反向代理。我们之前提到的Amos木马在第一季度也获得了普及。Trojan.OSX.Agent.gen在排名中位居第三,这是一个检测各种恶意软件的通用检测结果。
macOS威胁地理分布
受攻击用户份额前10个国家和地区
| 国家/地区 | 2024年第四季度 | 2025年第一季度 |
|---|---|---|
| 西班牙 | 1.16% | 1.02% |
| 法国 | 1.52% | 0.96% |
| 香港 | 1.21% | 0.83% |
| 新加坡 | 0.32% | 0.75% |
| 墨西哥 | 0.85% | 0.74% |
| 德国 | 0.96% | 0.74% |
| 中国大陆 | 0.73% | 0.68% |
| 巴西 | 0.66% | 0.61% |
| 俄罗斯联邦 | 0.50% | 0.53% |
| 印度 | 0.84% | 0.51% |
*遇到macOS威胁的唯一用户占该国/地区所有卡巴斯基产品唯一用户的百分比
IoT威胁统计
本节提供针对卡巴斯基IoT蜜罐的攻击统计数据。攻击源的地理数据基于攻击设备的IP地址。
2025年第一季度,通过Telnet协议攻击卡巴斯基蜜罐的设备份额在2024年底下降后再次增加。
与2024年第四季度相比,Telnet和SSH攻击的分布几乎保持不变。
传递给IoT设备的前10大威胁:
各种Mirai DDoS僵尸网络变种继续构成最广泛IoT威胁的很大一部分。BitCoinMiner在第一季度也活跃分发,占检测的7.32%。NyaDrop僵尸网络(19.31%)的攻击数量相比2024年第四季度有所减少。
IoT蜜罐攻击地理分布
按国家/地区查看SSH攻击,中国大陆的份额下降,而来自巴西的攻击明显增加。来自美国、印度尼西亚、澳大利亚和越南的攻击也略有上升。
| 国家/地区 | 2024年第四季度 | 2025年第一季度 |
|---|---|---|
| 中国大陆 | 32.99% | 20.52% |
| 印度 | 19.13% | 19.16% |
| 俄罗斯联邦 | 9.46% | 9.16% |
| 巴西 | 2.18% | 8.48% |
| 美国 | 4.90% | 5.52% |
| 印度尼西亚 | 1.37% | 3.99% |
| 香港 | 2.81% | 3.46% |
| 澳大利亚 | 1.31% | 2.75% |
| 法国 | 3.53% | 2.54% |
| 越南 | 1.41% | 2.27% |
来自中国和印度的Telnet攻击份额下降,而巴西、尼日利亚和印度尼西亚的份额明显增加。
| 国家/地区 | 2024年第四季度 | 2025年第一季度 |
|---|---|---|
| 中国 | 44.67% | 39.82% |
| 印度 | 33.79% | 30.07% |
| 巴西 | 2.62% | 12.03% |
| 俄罗斯联邦 | 6.52% | 5.14% |
| 巴基斯坦 | 5.77% | 3.99% |
| 尼日利亚 | 0.50% | 3.01% |
| 印度尼西亚 | 0.58% | 2.25% |
| 美国 | 0.42% | 0.68% |
| 乌克兰 | 0.79% | 0.67% |
| 瑞典 | 0.42% | 0.33% |
通过网络资源的攻击
本节中的统计数据基于网页反病毒的检测结果,该功能在从恶意或受感染的网页下载可疑对象时保护用户。网络犯罪分子故意创建恶意页面。托管用户创建内容(如论坛)的网站以及受感染的合法网站可能会被感染。
作为网络攻击来源的前10个国家和地区
本节包含卡巴斯基产品阻止的在线攻击来源的地理分布:重定向到漏洞利用的网页、托管漏洞利用和其他恶意软件的站点、僵尸网络C&C中心等。任何唯一主机都可能是一个或多个基于网络的攻击的来源。
为了确定基于网络的攻击的地理来源,域名与其实际IP地址匹配,然后确定特定IP地址的地理位置(GeoIP)。
2025年第一季度,卡巴斯基解决方案阻止了来自全球在线资源的629,211,451次攻击。网页反病毒检测到88,389,361个唯一URL。
用户面临最大在线感染风险的国家和地区
为了评估不同国家和地区PC用户面临的在线感染风险,我们计算了每个国家或地区在报告期内计算机上触发网页反病毒的卡巴斯基用户的百分比。所得数据反映了计算机在不同国家和地区运行的环境的攻击性。
这些排名仅包括属于恶意软件类别的恶意对象的攻击。我们的计算不包括网页反病毒对潜在危险或不需要程序(如RiskTool或广告软件)的检测。
| 排名 | 国家/地区 | 百分比 |
|---|---|---|
| 1 | 北马其顿 | 10.17 |
| 2 | 阿尔巴尼亚 | 9.96 |
| 3 | 阿尔及利亚 | 9.92 |
| 4 | 孟加拉国 | 9.92 |
| 5 | 突尼斯 | 9.80 |
| 6 | 斯洛伐克 | 9.77 |
| 7 | 希腊 | 9.66 |
| 8 | 塞尔维亚 | 9.44 |
| 9 | 塔吉克斯坦 | 9.28 |
| 10 | 土耳其 | 9.10 |
| 11 | 秘鲁 | 8.78 |
| 12 | 葡萄牙 | 8.70 |
| 13 | 尼泊尔 | 8.38 |
| 14 | 菲律宾 | 8.33 |
| 15 | 罗马尼亚 | 8.26 |
| 16 | 斯里兰卡 | 8.20 |
| 17 | 保加利亚 | 8.19 |
| 18 | 马达加斯加 | 8.14 |
| 19 | 匈牙利 | 8.12 |
| 20 | 埃及 | 8.12 |
*排除卡巴斯基产品用户相对较少(低于10,000)的国家和地区 **受基于网络的恶意软件攻击的唯一用户占该国/地区所有卡巴斯基产品唯一用户的百分比
本季度全球平均有6.46%的用户计算机至少遭受一次基于网络的恶意软件攻击。
本地威胁
用户计算机本地感染的统计数据是一个重要指标。它们包括通过感染文件或可移动媒体渗透目标计算机的对象,或最初以非透明形式进入计算机的对象。后者的例子包括复杂安装程序中的程序和加密文件。
本节中的数据基于对硬盘驱动器上文件在创建或访问时进行防病毒扫描产生的统计数据的分析,以及可移动存储介质扫描的结果。统计数据基于文件反病毒的OAS(访问时扫描)和ODS(按需扫描)模块的检测结果。数据包括位于用户计算机或连接到计算机的可移动媒体(如闪存驱动器、相机存储卡、手机或外部硬盘驱动器)上的恶意程序的检测。
2025年第一季度,我们的文件反病毒检测到21,533,464个恶意和潜在不需要的对象。
用户面临最高本地感染风险的国家和地区
对于每个国家和地区,我们计算了在报告期内计算机上触发文件反病毒的卡巴斯基产品用户的百分比。这些统计数据反映了全球不同国家和地区个人计算机感染的水平。
这些排名仅包括属于恶意软件类别的恶意对象的攻击。我们的计算不包括文件反病毒对潜在危险或不需要程序(如RiskTool或广告软件)的检测。
| 排名 | 国家/地区 | 百分比 |
|---|---|---|
| 1 | 土库曼斯坦 | 47.41 |
| 2 | 塔吉克斯坦 | 37.23 |
| 3 | 阿富汗 | 36.92 |
| 4 | 也门 | 35.80 |
| 5 | 古巴 | 32.08 |
| 6 | 乌兹别克斯坦 | 31.31 |
| 7 | 加蓬 | 27. |