2025年第三季度桌面与物联网恶意软件报告
季度关键数据概览
在2025年第三季度,卡巴斯基解决方案记录了以下威胁活动:
- 拦截了超过3.89亿次源自各种在线资源的攻击。
- 网页反病毒组件响应了5200万个唯一恶意链接。
- 文件反病毒组件拦截了超过2135万个恶意和潜在有害对象。
- 检测到2200个新的勒索软件变种。
- 近85,000名用户遭遇了勒索软件攻击。
- 在所有其数据被发布在数据泄露站点(DLS)的勒索软件受害者中,有15%是Qilin勒索软件的受害者。
- 超过254,000名用户成为挖矿程序的攻击目标。
勒索软件
季度趋势与亮点
执法行动成功案例
- 英国国家犯罪调查局(NCA)逮捕了与2025年9月导致众多欧洲机场服务中断的勒索软件攻击相关的首位嫌疑人。
- 美国司法部对LockerGoga、MegaCortex和Nefilim勒索软件团伙的管理员提出指控。
- 美国当局从一名涉嫌参与分发Zeppelin勒索软件的嫌疑人处查封了超过280万美元的加密货币、7万美元现金及一辆豪华汽车。
- 美国联邦调查局(FBI)、国土安全调查局(HSI)、美国国税局(IRS)及多国执法机构联合开展的一次国际协调行动,成功摧毁了BlackSuit勒索软件的基础设施,查获了4台服务器、9个域名以及109万美元的加密货币。
漏洞与攻击事件
- SonicWall SSL VPN攻击:自7月下旬起,研究人员记录到Akira威胁行为者针对支持SSL VPN的SonicWall防火墙的攻击激增。攻击者利用了已修复的漏洞CVE-2024-40766来窃取凭据,并成功绕过多因素身份验证(MFA)。
- Scattered Spider利用社会工程攻击VMware ESXi:攻击者伪装成公司员工联系IT支持部门以重置Active Directory密码,获取vCenter访问权限后,在ESXi服务器上启用SSH、提取NTDS.dit数据库,并最终部署勒索软件加密所有虚拟机。
- Microsoft SharePoint漏洞利用:7月下旬,研究人员发现攻击者利用ToolShell漏洞链攻击SharePoint服务器,并在调查过程中发现了基于Mauri870代码的4L4MD4R勒索软件。该软件使用Go语言编写,采用UPX加壳,索要0.005 BTC的赎金。
AI在勒索软件开发中的应用
- 一个英国威胁行为者利用Claude创建并启动了一个勒索软件即服务(RaaS)平台。AI负责编写代码,其中包含反EDR技术、使用ChaCha20和RSA算法加密、删除卷影副本以及加密网络文件等高级功能。
- 研究人员还发现了一种新的勒索软件PromptLock,它直接在攻击过程中利用大语言模型(LLM)。该软件用Go语言编写,使用硬编码提示动态生成用于在Windows、macOS和Linux系统上窃取数据和加密的Lua脚本,并采用SPECK-128算法进行加密。
最具影响力的勒索软件团伙
根据各团伙数据泄露站点(DLS)上公布的受害者数量统计,Qilin在本季度仍然领先,其份额增长了1.89个百分点,达到14.96%。Clop的活动有所减少,Akira的份额小幅增长至10.02%。自2023年开始活跃的INC Ransom团伙跃居第三位,占8.15%。
新变种数量
在第三季度,卡巴斯基解决方案检测到4个新家族和2259个新的勒索软件变体,比2025年第二季度增加了近三分之一,也略高于2024年第三季度。
受攻击用户数量
在报告期内,我们的解决方案保护了84,903名唯一用户免受勒索软件侵害。勒索软件活动在7月最为活跃,而8月则是最平静的月份。
攻击地理分布
TOP 10受勒索软件攻击的国家和地区
| 排名 | 国家/地区 | 受攻击用户百分比* |
|---|---|---|
| 1 | 以色列 | 1.42% |
| 2 | 利比亚 | 0.64% |
| 3 | 卢旺达 | 0.59% |
| 4 | 韩国 | 0.58% |
| 5 | 中国 | 0.51% |
| 6 | 巴基斯坦 | 0.47% |
| 7 | 孟加拉国 | 0.45% |
| 8 | 伊拉克 | 0.44% |
| 9 | 塔吉克斯坦 | 0.39% |
| 10 | 埃塞俄比亚 | 0.36% |
* 排除卡巴斯基用户相对较少(低于5万)的国家和地区。受攻击用户百分比指遭受勒索软件攻击的唯一用户数占该国家/地区所有卡巴斯基产品唯一用户数的比例。
TOP 10最常见的勒索软件家族
| 名称 | 检测名 | 占比* |
|---|---|---|
| 1 | (通用检测) | Trojan-Ransom.Win32.Gen |
| 2 | (通用检测) | Trojan-Ransom.Win32.Crypren |
| 3 | (通用检测) | Trojan-Ransom.Win32.Encoder |
| 4 | WannaCry | Trojan-Ransom.Win32.Wanna |
| 5 | (通用检测) | Trojan-Ransom.Win32.Agent |
| 6 | LockBit | Trojan-Ransom.Win32.Lockbit |
| 7 | (通用检测) | Trojan-Ransom.Win32.Crypmod |
| 8 | (通用检测) | Trojan-Ransom.Win32.Phny |
| 9 | PolyRansom/VirLock | Trojan-Ransom.Win32.PolyRansom / Virus.Win32.PolyRansom |
| 10 | (通用检测) | Trojan-Ransom.MSIL.Agent |
* 受该特定勒索软件家族攻击的唯一卡巴斯基用户数占所有受此类威胁攻击的唯一用户总数的百分比。
挖矿程序
新变种数量
2025年第三季度,卡巴斯基解决方案检测到2863个挖矿程序新变体。
受攻击用户数量
在第三季度,我们检测到全球254,414名唯一卡巴斯基用户的计算机遭到挖矿程序攻击。
攻击地理分布
TOP 10受挖矿程序攻击的国家和地区
| 排名 | 国家/地区 | 受攻击用户百分比* |
|---|---|---|
| 1 | 塞内加尔 | 3.52% |
| 2 | 马里 | 1.50% |
| 3 | 阿富汗 | 1.17% |
| 4 | 阿尔及利亚 | 0.95% |
| 5 | 哈萨克斯坦 | 0.93% |
| 6 | 坦桑尼亚 | 0.92% |
| 7 | 多米尼加共和国 | 0.86% |
| 8 | 埃塞俄比亚 | 0.77% |
| 9 | 葡萄牙 | 0.75% |
| 10 | 白俄罗斯 | 0.75% |
* 排除卡巴斯基用户相对较少(低于5万)的国家和地区。受攻击用户百分比指遭受挖矿程序攻击的唯一用户数占该国家/地区所有卡巴斯基产品唯一用户数的比例。
macOS平台攻击
主要威胁动态
- PasivRobber间谍软件:该家族在整个第三季度持续发展,新变体引入了之前版本中没有的额外可执行模块,并开始采用混淆技术以阻碍样本检测。
- 针对开发者的攻击:出现了通过伪造的Cursor AI(基于Visual Studio Code)和VS Code扩展分发的恶意载荷。攻击链涉及下载恶意JavaScript脚本,进而下载Rust编写的macOS加载器,最终部署旨在窃取加密货币的后门。
- ChillyHell后门新变种:研究人员发现了一个以前未知版本的模块化后门ChillyHell,其可执行文件在发现时使用了有效的开发者证书进行签名。除了后门功能外,还包含一个暴力破解现有系统用户密码的模块。
- XCSSET间谍软件:出现了针对开发人员并通过感染的Xcode项目传播的新版本,其中包含了用于数据窃取和系统持久化的额外模块。
macOS平台TOP 20威胁 (图表显示了遭遇该恶意软件的macOS用户占所有受攻击macOS用户的百分比)
- 持续活跃的PasivRobber间谍软件变体占据了榜单前列。
- 其他高度活跃的威胁包括窃取密码和加密货币钱包数据的Amos木马,以及各种广告软件。
- 排名第13位的Backdoor.OSX.Agent.l家族是基于知名开源恶意软件Mettle的变体。
macOS威胁地理分布 TOP 10
| 国家/地区 | 2025年Q2 受攻击用户百分比* | 2025年Q3 受攻击用户百分比* |
|---|---|---|
| 中国大陆 | 2.50% | 1.70% |
| 意大利 | 0.74% | 0.85% |
| 法国 | 1.08% | 0.83% |
| 西班牙 | 0.86% | 0.81% |
| 巴西 | 0.70% | 0.68% |
| 荷兰 | 0.41% | 0.68% |
| 墨西哥 | 0.76% | 0.65% |
| 中国香港 | 0.84% | 0.62% |
| 英国 | 0.71% | 0.58% |
| 印度 | 0.76% | 0.56% |
* 受攻击用户百分比指遭遇恶意软件攻击的唯一macOS用户占该国家/地区所有使用卡巴斯基macOS安全解决方案的唯一用户数的比例。
物联网(IoT)威胁统计
本部分基于针对卡巴斯基IoT蜜罐的攻击统计数据。攻击来源的地理数据基于攻击设备的IP地址。
攻击协议分布
- 在2025年第三季度,通过SSH协议攻击卡巴斯基蜜罐的设备所占比例略有增加。
- 相反,使用SSH协议的攻击会话在总攻击会话中的占比略有下降。
TOP 10投递至IoT设备的威胁
(图表显示了通过成功攻击投递到受感染设备的每种威胁占总投递威胁数量的份额)
- 在第三季度,NyaDrop和Mirai.b僵尸网络的份额显著下降。
- 相反,Mirai家族其他几个成员以及Gafgyt僵尸网络的活动有所增加。典型的趋势是,各种Mirai变体占据了最流行恶意软件菌株名单的大部分。
IoT蜜罐攻击来源
SSH协议攻击主要来源国家和地区
| 国家/地区 | 2025年Q2 | 2025年Q3 |
|---|---|---|
| 德国 | 24.58% | 13.72% |
| 美国 | 10.81% | 13.57% |
| 巴拿马 | 1.05% | 7.81% |
| 伊朗 | 1.50% | 7.04% |
| 塞舌尔 | 6.54% | 6.69% |
| 南非 | 2.28% | 5.50% |
| 荷兰 | 3.53% | 3.94% |
| 越南 | 3.00% | 3.52% |
| 印度 | 2.89% | 3.47% |
| 俄罗斯 | 8.45% | 3.29% |
Telnet协议攻击主要来源国家和地区
| 国家/地区 | 2025年Q2 | 2025年Q3 |
|---|---|---|
| 中国 | 47.02% | 57.10% |
| 印度尼西亚 | 5.54% | 9.48% |
| 印度 | 28.08% | 8.66% |
| 俄罗斯 | 4.85% | 7.44% |
| 巴基斯坦 | 3.58% | 6.66% |
| 尼日利亚 | 1.66% | 3.25% |
| 越南 | 0.55% | 1.32% |
| 塞舌尔 | 0.58% | 0.93% |
| 乌克兰 | 0.51% | 0.73% |
| 瑞典 | 0.39% | 0.72% |
网络资源攻击
本部分统计基于网页反病毒组件的检测结果,这些组件在从恶意或受感染的网页下载可疑对象时为用户提供保护。攻击源的地理分布基于被拦截恶意资源的托管IP地址的地理位置(GeoIP)。
网络攻击源 TOP 10
(图表显示了2025年第三季度各国家/地区发起的网络攻击分布)
- 在2025年第三季度,卡巴斯基解决方案在全球范围内拦截了389,755,481次来自互联网资源的攻击。
- 网页反病毒组件触发了51,886,619个唯一URL。
用户面临最高在线感染风险的地区
此列表计算了在报告期内其计算机上网页反病毒组件因恶意软件(Malware)类对象而触发的卡巴斯基用户在各国家/地区的占比,反映了不同地区计算机面临的网络环境威胁程度。
| 排名 | 国家/地区 | 受攻击用户百分比* |
|---|---|---|
| 1 | 巴拿马 | 11.24% |
| 2 | 孟加拉国 | 8.40% |
| 3 | 塔吉克斯坦 | 7.96% |
| 4 | 委内瑞拉 | 7.83% |
| 5 | 塞尔维亚 | 7.74% |
| 6 | 斯里兰卡 | 7.57% |
| 7 | 北马其顿 | 7.39% |
| 8 | 尼泊尔 | 7.23% |
| 9 | 阿尔巴尼亚 | 7.04% |
| 10 | 卡塔尔 | 6.91% |
| 11 | 马拉维 | 6.90% |
| 12 | 阿尔及利亚 | 6.74% |
| 13 | 埃及 | 6.73% |
| 14 | 波黑 | 6.59% |
| 15 | 突尼斯 | 6.54% |
| 16 | 比利时 | 6.51% |
| 17 | 科威特 | 6.49% |
| 18 | 土耳其 | 6.41% |
| 19 | 白俄罗斯 | 6.40% |
| 20 | 保加利亚 | 6.36% |
* 排除卡巴斯基用户相对较少(低于1万)的国家和地区。受攻击用户百分比指遭遇基于网络的恶意软件攻击的唯一用户数占该国家/地区所有卡巴斯基产品唯一用户数的比例。 本季度全球范围内,平均有**4.88%**的设备至少遭受了一次基于网络的恶意软件攻击。
本地威胁
本地威胁统计基于文件反病毒组件的实时扫描(OAS)和按需扫描(ODS)模块的检测结果,包括感染文件或可移动介质、或以非公开形式(如复杂安装程序、加密文件)进入计算机的对象。 在2025年第三季度,我们的文件反病毒组件记录了21,356,075个恶意和潜在有害对象。
用户面临最高本地感染风险的地区
此列表计算了在报告期内其计算机上文件反病毒组件因恶意软件(Malware)类对象而触发的卡巴斯基用户在各国家/地区的占比,反映了不同地区个人计算机的感染水平。
| 排名 | 国家/地区 | 受攻击用户百分比* |
|---|---|---|
| 1 | 土库曼斯坦 | 45.69% |
| 2 | 也门 | 33.19% |
| 3 | 阿富汗 | 32.56% |
| 4 | 塔吉克斯坦 | 31.06% |
| 5 | 古巴 | 30.13% |
| 6 | 乌兹别克斯坦 | 29.08% |
| 7 | 叙利亚 | 25.61% |
| 8 | 孟加拉国 | 24.69% |
| 9 | 中国 | 22.77% |
| 10 | 越南 | 22.63% |
| 11 | 喀麦隆 | 22.53% |
| 12 | 白俄罗斯 | 21.98% |
| 13 | 坦桑尼亚 | 21.80% |
| 14 | 尼日尔 | 21.70% |
| 15 | 马里 | 21.29% |
| 16 | 伊拉克 | 20.77% |
| 17 | 尼加拉瓜 | 20.75% |
| 18 | 阿尔及利亚 | 20.51% |
| 19 | 刚果(布) | 20.50% |
| 20 | 委内瑞拉 | 20.48% |
* 排除卡巴斯基用户相对较少(低于1万)的国家和地区。受攻击用户百分比指其计算机上本地恶意软件威胁被拦截的唯一用户数占该国家/地区所有卡巴斯基产品唯一用户数的比例。 在第三季度,全球范围内平均有**12.36%**的计算机至少检测到一次本地恶意软件威胁。