2025年第三季度《非移动统计信息》IT威胁演变

在 2025 年第三季度：

• 卡巴斯基解决方案阻止了来自各种在线资源的超过3.89亿次攻击。

• 网页反病毒响应的唯一链接有5200万个。

• 文件反病毒阻止了近2100万个恶意和潜在不需要的对象。

• 发现了 2,200 种新的勒索软件变种。

• 近 85,000 名用户遭受了勒索软件攻击。

• 在威胁行为者的数据泄露站点（DLS）上公开的所有勒索软件受害者中，有15%来自Qilin勒索软件。

• 近 254,000名用户遭受了矿工的攻击。

季度趋势和亮点

执法成果

英国国家犯罪局（NCA）逮捕了与2025年9月造成多个欧洲机场瘫痪的勒索软件攻击相关的首名嫌疑人。由于调查仍在进行中，逮捕的具体细节尚未公开。安全研究员Kevin Beaumont表示，此次攻击使用了HardBit勒索软件。他形容这种勒索软件原始且没有自己的数据泄露网站。

美国司法部对 LockerGoga、MegaCortex 和 Nefilim 勒索软件团伙的头目提起诉讼。他的攻击造成了数百万美元的损失，使他成为了联邦调查局（FBI）和欧盟的通缉对象。

美国当局从一名涉嫌参与传播Zeppelin勒索软件的嫌疑人处缴获了价值超过280万美元的加密货币、7万美元现金和一辆豪车。该犯罪团伙的犯罪活动包括数据窃取、文件加密和敲诈勒索，全球众多组织机构均受其害。

由美国联邦调查局 (FBI)、国土安全调查局 (HSI)、美国国税局 (IRS) 以及其他几个国家的执法机构联合开展的国际行动， 成功摧毁了 BlackSuit 勒索软件的基础设施。此次行动缴获了4台服务器、9个域名以及价值109万美元的加密货币。行动的目标是破坏恶意软件生态系统，并保护美国的关键基础设施。

对 SonicWall 的 SSL VPN 攻击

自 7 月下旬以来，研究人员记录到 Akira 黑客组织针对支持 SSL VPN 的 SonicWall 防火墙发起的攻击数量有所增加。SonicWall 已将这些事件与已修复的漏洞 CVE-2024-40766 联系起来，该漏洞允许未经授权的用户访问系统资源。攻击者利用此漏洞窃取凭据，随后使用这些凭据访问设备，即使是那些已修复漏洞的设备也不例外。此外，攻击者还能够绕过设备上启用的多因素身份验证。SonicWall 敦促客户重置所有密码并更新其 SonicOS 固件。

Scattered Spider (UNC3944) 组织正在攻击 VMware 虚拟环境。攻击者伪装成公司员工联系 IT 支持部门，请求重置 Active Directory 密码。一旦获得 vCenter 访问权限，攻击者便会在 ESXi 服务器上启用 SSH，提取 NTDS.dit 数据库，并在攻击的最后阶段部署勒索软件，加密所有虚拟机。

7 月下旬，研究人员发现针对 SharePoint 服务器的攻击利用了 ToolShell 漏洞链。在调查此次影响全球 140 多家机构的攻击活动的过程中，研究人员发现了基于 Mauri870 代码的 4L4MD4R 勒索软件。该恶意软件使用 Go 语言编写，并使用 UPX 压缩器进行打包，要求支付0.005比特币的赎金。

一家总部位于英国的威胁行为者利用 Claude 创建并推出了勒索软件即服务 (RaaS) 平台。该人工智能负责编写代码，其中包括反 EDR 技术、使用 ChaCha20 和 RSA 算法的加密、卷影副本删除以及网络文件加密等高级功能。

Anthropic 指出，攻击者几乎完全依赖于 Claude，因为他们缺乏必要的技术知识来为自己的客户提供技术支持。该威胁行为者在暗网上以 400 至 1200 美元的价格出售已完成的恶意软件工具包。

研究人员还发现了一种名为 PromptLock 的新型勒索软件，它在攻击过程中直接利用 LLM。该恶意软件使用 Go 语言编写，通过硬编码提示动态生成 Lua 脚本，用于在 Windows、macOS 和 Linux 系统上窃取和加密数据。加密方面，它采用了 SPECK-128 算法，这种算法很少被勒索软件组织使用。

随后，纽约大学坦登工程学院的科学家追溯到PromptLock可能的起源，发现它与他们自己的教育项目“勒索软件3.0”有关，该项目在之前的出版物中有详细描述。

本节重点介绍在报告期内按受害者数量统计、在其数据泄露站点（DLS）上最活跃的勒索软件团伙。与上一季度一样，Qilin勒索软件团伙在该指标上领先，其份额增长了 1.89 个百分点，达到 14.96%。Clop 勒索软件的活动有所减少，而 Akira 的份额略有上升（10.02%）。自 2023 年以来一直活跃的 INC 勒索软件团伙以 8.15% 的份额跃升至第三位。

第三季度，卡巴斯基解决方案检测到4个新系列和 2259 种新的勒索软件变种，比 2025 年第二季度增加了近三分之一，比 2024 年第三季度略多。

在报告期内，我们的解决方案保护了 84,903 位独立用户免受勒索软件攻击。勒索软件活动在7月份最为活跃，在8月份则最为平静。

受攻击用户的地理位置

受到勒索软件木马攻击的十大国家和地区：

第三季度，以色列遭受攻击的用户比例最高（1.42%）。该国的大部分勒索软件攻击是在8月份通过行为分析检测到的。

*卡巴斯基用户相对较少（低于 50,000 人）的国家和地区除外。

** 计算机受到勒索软件木马攻击的独立用户占该国家/地区所有卡巴斯基产品独立用户的百分比。

在2025年第三季度，卡巴斯基解决方案检测到2,863种新的矿机变种。

在第三季度，我们检测到全球有254,414名独立的卡巴斯基用户电脑遭受了矿工的攻击。

受攻击用户的地理位置

被矿工攻击的十大国家和地区

*卡巴斯基用户相对较少（低于50,000人）的国家和地区除外。 **计算机遭到矿工攻击的独立用户占该国家或地区所有卡巴斯基产品独立用户的百分比。

今年四月，Iru（前身为 Kandji）的研究人员报告发现了一种名为 PasivRobber 的新型间谍软件家族。我们在整个第三季度都观察到了该家族的发展。其新版本引入了之前版本所没有的额外可执行模块。此外，攻击者开始采用混淆技术，试图阻碍样本检测。

今年 7 月，我们报道了一种通过伪装成 Cursor AI 开发环境（基于 Visual Studio Code）的扩展程序传播的加密货币窃取程序。当时，恶意 JavaScript (JS)脚本会下载一个伪装成 ScreenConnect 远程访问工具的有效载荷。该工具随后会将窃取加密货币的 VBS 脚本下载到受害者的设备上。之后，研究员 Michael Bocanegra 报道了新的伪装 VS Code 扩展程序，这些程序同样会执行恶意 JS 代码。这次，代码会下载一个恶意 macOS 有效载荷：一个基于 Rust 的加载器。该加载器随后会在受害者的设备上植入一个后门，其目的很可能也是为了窃取加密货币。该后门支持加载其他模块来收集受害者机器的数据。Iru 的研究人员对这个 Rust 下载器进行了详细分析 。

9 月，Jamf 的研究人员报告称 ，他们发现了一个此前未知的模块化后门 ChillyHell 版本，该后门最早于 2023 年被描述。值得注意的是，该木马的可执行文件在发现时已使用有效的开发者证书进行了签名。

该新样本自 2021 年起就已在 Dropbox 上提供。除了后门功能外，它还包含一个负责暴力破解现有系统用户密码的模块。

第三季度末，微软研究人员报告了 XCSSET 间谍软件的新版本，该软件针对开发者并通过受感染的 Xcode 项目传播。这些新版本加入了额外的用于窃取数据和系统持久化模块。

本节展示针对卡巴斯基物联网蜜罐的攻击统计数据。攻击来源的地理数据基于攻击设备的 IP 地址。

2025 年第三季度，利用 SSH 协议攻击卡巴斯基蜜罐的设备比例略有增加。

相反，使用 SSH 协议的攻击占比略有下降。

第三季度，NyaDrop 和 Mirai.b 僵尸网络在物联网威胁总量中的占比显著下降。相反，Mirai 家族其他成员以及 Gafgyt 僵尸网络的活动有所增加。不出所料，各种 Mirai 变种占据了最广泛传播的恶意软件列表的大部分。

源自德国和美国的SSH攻击比例仍然占据领导地位。来自巴拿马和伊朗的攻击份额也有所上升。

本节中的统计数据基于 Web Anti-Virus提供的数据，当从恶意/受感染的网页下载恶意对象时，它可以保护用户。网络犯罪分子故意创建恶意页面。包含用户生成内容的网站（例如留言板）以及被黑客入侵的合法资源都可能受到感染。

本节提供了卡巴斯基产品阻止的互联网攻击源的地理分布：重定向到漏洞的网页、托管漏洞和其他恶意软件的网站、僵尸网络 C2中心等。任何唯一的主机都可能是一个或多个基于Web的攻击的来源。

为了确定基于Web的攻击的地理来源，需要将域名与其实际域IP地址进行匹配，然后确定特定IP地址（GEOIP）的地理位置。

在2025年第三季度，卡巴斯基解决方案阻止了从全球在线资源发起的389,755,481次攻击。共有51,886,619 个唯一URL触发了 Web 反病毒检测。

用户面临网络感染风险最大的国家和地区

为了评估不同国家和地区的用户面临的在线恶意软件感染风险，我们为每个国家或地区计算了本季度在其计算机上触发了网页反病毒的卡巴斯基用户的百分比。由此产生的数据表明了计算机在不同国家和地区运行的环境的侵略性。

这些排名仅包括属于恶意软件类别的恶意对象的攻击。我们的计算不包括对潜在危险或不需要程序（如 RiskTool 或广告软件）的Web反病毒检测。

* 卡巴斯基用户相对较少（少于 10,000 人）的国家和地区除外。

** 网络恶意软件攻击所针对的独立用户占该国家或地区所有卡巴斯基产品独立用户的百分比。

在本季度，全球平均有4.88%的互联网用户的计算机至少遭受过一次恶意软件类别的网络攻击。

本地用户计算机感染统计数据是一个重要指标。此类感染包括通过文件或可移动媒体而进入目标计算机的对象，或者最初以非开放形式进入计算机的对象。后者包括复杂安装程序中的程序和加密文件。

本节数据基于对文件在创建或访问时进行的硬盘杀毒扫描统计结果，以及对可移动存储媒体（例如 U 盘、相机存储卡、手机和外置硬盘）的扫描结果分析。这些统计数据基于文件防病毒模块的OAS（访问扫描)和ODS(按需扫描)的检测结果。

在2025年第二季度，我们的文件反病毒检测到21,356,075个恶意和潜在不需要的对象。

我们针对每个国家和地区，计算了其在报告期内触发文件反病毒功能的卡巴斯基用户计算机百分比。该统计数据反映了世界各地不同国家和地区个人计算机的感染程度。

这些排名仅包括属于恶意软件类别的恶意对象的攻击。我们的计算不包括对潜在危险或不需要程序（如 RiskTool 或广告软件）的文件反病毒检测。

* 卡巴斯基用户相对较少（少于 10,000 人）的国家和地区除外。  计算机本地恶意软件攻击被组织的独立用户占该国家或地区所有卡巴斯基产品独立用户的百分比。

第三季度，全球平均有 12.36% 的计算机至少检测到一次本地恶意软件威胁。