Qilin 如何趁乱统治勒索软件江湖
Qilin泄露站点
2024-2025 年间,RansomHub、LockBit、Everest、BlackLock 等传统巨头先后“塌房”,暗网泄密站被黑、数据库被拖库,行业版图瞬间失衡。就在旧势力自乱阵脚之际,一个号称“全栈服务平台”的新秀 Qilin(又名 Agenda)快速接管资源、招募盟友,并用更工业化的 RaaS 运营模式刷新了勒索软件的“天花板”。
1 | “前浪”退潮:黑帮大佬们的自毁与互咬
|
|
|
---|---|---|
|
RansomHub
|
|
|
BlackLock
|
|
|
LockBit / Everest
|
|
内部背叛、暗网“黑吃黑”与执法高压交织,老牌 RaaS 的“信任链”被连环爆破,为 Qilin 留出可乘之机。
2 | Qilin:从“勒索团伙”到“黑客 SaaS”
|
|
|
---|---|---|
恶意负载 | Rust(Windows) + C(Linux/ESXi)
|
|
加密算法 |
|
|
运营面板 |
|
|
特色功能 | “Call Lawyer”
|
|
增值服务 |
|
|
Qilin 不再满足于“加密数据”,而是要做“勒索软件生态云”:打一套 Payload,送一套协作与压力工具,吸附解散中的旧帮派加盟。
3 | 攻击链与样本拆解
3.1 Windows 加载器(Rust)
-
受控执行:启动需密码,命令行参数驱动不同动作。 -
横向移动:调用 PsExec
批量推送自身至域内主机。 -
痕迹清除:PowerShell 循环清空 Event Log,删除影子副本。 -
胁迫升级: -
修改桌面壁纸并自动打印勒索信 ( Get-Printer
); -
若参数启用, bcdedit /set {current} safeboot network
强制进入安全模式加密。 -
VMware 打击:枚举 vCenter / ESXi,批量改 root 密码并上传二次载荷。
3.2 Linux / ESXi 变体(C)
-
环境自适应:运行时 uname
判别 Linux / ESXi / FreeBSD / Nutanix。 -
ESXi 专杀:调整 BufferCache,优化 I/O;删除快照防恢复。 -
Nutanix CVM: acli vm.update ... ha_priority=0
全局关闭 HA,继而批量vm.force_off
。 -
硬编码清单:重点加密 VM、数据库(MySQL、PG、Redis…)、容器镜像等高价值资产。
4 | 趋势洞察:勒索“工业化 2.0” 的拐点
-
勒索即服务(RaaS-as-a-Platform)Qilin 把法务、公关、存储、Spam、DDoS 都打包成插件,向 附属机构 收 15-20 % 抽成,极大降低作恶门槛。 -
跨平台高耦合Rust+C 双核覆盖 Windows 与虚拟化核心,ESXi/Nutanix 专用脚本体现其对企业虚拟化痛点的深度研究。 -
供应链排他明令禁止攻击 CIS 国家、设置硬编码白名单,表明背后运营者的地缘倾向与生存策略。 -
旧帮派并购/吸收RansomHub、BlackLock 与 DragonForce 的“合并”剧本,为 Qilin 提供了可复制模板——通过技术壁垒+资金分成,加速收编松散附属机构。
总结
过去几年,勒索软件从“一锤子买卖”走向“长尾服务”,而 Qilin 正是这一范式转移的最佳样本:它不只卖加密器,更卖“勒索场景解决方案”。传统“单点-双人”模式(开发者+部署者)正让位于“平台-加盟”模式,威胁链条因而拉长、责任更分散,溯源与制裁难度陡增。未来的防御焦点,势必从单一 IOC 响应转向 供应链级情报联动 与 虚拟化核心加固 —— Qilin 式“新贵”取代旧王,只是时间问题。
原文始发于微信公众号(独眼情报):Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论