Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面

admin 2025年6月23日22:38:44评论20 views字数 2048阅读6分49秒阅读模式
Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面

Qilin 如何趁乱统治勒索软件江湖

Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面

Qilin泄露站点

2024-2025 年间,RansomHub、LockBit、Everest、BlackLock 等传统巨头先后“塌房”,暗网泄密站被黑、数据库被拖库,行业版图瞬间失衡。就在旧势力自乱阵脚之际,一个号称“全栈服务平台”的新秀 Qilin(又名 Agenda)快速接管资源、招募盟友,并用更工业化的 RaaS 运营模式刷新了勒索软件的“天花板”。

1 | “前浪”退潮:黑帮大佬们的自毁与互咬

时间
事件
影响
2025-03
RansomHub

 暗网站点无预警下线;几天后被竞争对手 DragonForce 宣称“接管”
数十家正在谈判的受害者陷入僵局,赎金沟通中断
2025-03
BlackLock

(前身 Eldorado) 漏洞被 Resecurity 利用,本地文件包含漏洞泄出配置;随后又被 DragonForce 二次入侵
疑似兼并,BlackLock 与 DragonForce 代码高度同源
2025-05
LockBit / Everest

 泄密站被“xoxo from Prague”团伙攻破,“Don’t do crime” 口号+完整数据库泄露
LockBit 内部聊天、受害者清单外流,品牌信誉重创

内部背叛、暗网“黑吃黑”与执法高压交织,老牌 RaaS 的“信任链”被连环爆破,为 Qilin 留出可乘之机。

2 | Qilin:从“勒索团伙”到“黑客 SaaS”

维度
关键要素
细节
恶意负载 Rust(Windows) + C(Linux/ESXi)

 双栈
跨平台、性能佳;默认排除 CIS 国家 (“CIS国家”指的是“独立国家联合体”(Commonwealth of Independent States,简称CIS)的成员国。独联体是1991年苏联解体时,由多个原苏联加盟共和国组成的一个地区性国际组织,旨在促进成员国之间的经济、政治和安全合作)
加密算法
ChaCha20、AES、RSA-4096
四种模式:normal / step-skip / fast / percent
运营面板
Build Configurator、访客权限、24×7 谈判/电话轰炸
2025-04 新增 DDoS 选项,支持一键 Safe Mode 执行
特色功能 “Call Lawyer”

 按钮
内置法务+公关团队,在谈判聊天室“法律恐吓”抬价
增值服务
1 PB 数据仓库、邮件/短信 spam、专属记者撰稿
彻底产品化,“一条龙”压迫受害企业

Qilin 不再满足于“加密数据”,而是要做“勒索软件生态云”:打一套 Payload,送一套协作与压力工具,吸附解散中的旧帮派加盟。

Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面
QiLin 管理面板

3 | 攻击链与样本拆解

3.1 Windows 加载器(Rust)

  1. 受控执行:启动需密码,命令行参数驱动不同动作。
  2. 横向移动:调用 PsExec 批量推送自身至域内主机。
  3. 痕迹清除:PowerShell 循环清空 Event Log,删除影子副本。
  4. 胁迫升级
    • 修改桌面壁纸并自动打印勒索信 (Get-Printer);
    • 若参数启用,bcdedit /set {current} safeboot network 强制进入安全模式加密。
  5. VMware 打击:枚举 vCenter / ESXi,批量改 root 密码并上传二次载荷。

3.2 Linux / ESXi 变体(C)

  • 环境自适应:运行时 uname 判别 Linux / ESXi / FreeBSD / Nutanix。
  • ESXi 专杀:调整 BufferCache,优化 I/O;删除快照防恢复。
  • Nutanix CVMacli vm.update ... ha_priority=0 全局关闭 HA,继而批量 vm.force_off
  • 硬编码清单:重点加密 VM、数据库(MySQL、PG、Redis…)、容器镜像等高价值资产。

4 | 趋势洞察:勒索“工业化 2.0” 的拐点

  1. 勒索即服务(RaaS-as-a-Platform)Qilin 把法务、公关、存储、Spam、DDoS 都打包成插件,向 附属机构 收 15-20 % 抽成,极大降低作恶门槛。
  2. 跨平台高耦合Rust+C 双核覆盖 Windows 与虚拟化核心,ESXi/Nutanix 专用脚本体现其对企业虚拟化痛点的深度研究。
  3. 供应链排他明令禁止攻击 CIS 国家、设置硬编码白名单,表明背后运营者的地缘倾向与生存策略。
  4. 旧帮派并购/吸收RansomHub、BlackLock 与 DragonForce 的“合并”剧本,为 Qilin 提供了可复制模板——通过技术壁垒+资金分成,加速收编松散附属机构。

总结

Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面
热图展示qilin 入侵活动报告

过去几年,勒索软件从“一锤子买卖”走向“长尾服务”,而 Qilin 正是这一范式转移的最佳样本:它不只卖加密器,更卖“勒索场景解决方案”。传统“单点-双人”模式(开发者+部署者)正让位于“平台-加盟”模式,威胁链条因而拉长、责任更分散,溯源与制裁难度陡增。未来的防御焦点,势必从单一 IOC 响应转向 供应链级情报联动 与 虚拟化核心加固 —— Qilin 式“新贵”取代旧王,只是时间问题。

原文始发于微信公众号(独眼情报):Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月23日22:38:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Lockbit勒索软件犯罪团伙逐渐崩溃,Qilin 掌控局面http://cn-sec.com/archives/4193232.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息