Qilin 如何趁乱统治勒索软件江湖

Qilin泄露站点

2024-2025 年间,RansomHub、LockBit、Everest、BlackLock 等传统巨头先后“塌房”,暗网泄密站被黑、数据库被拖库,行业版图瞬间失衡。就在旧势力自乱阵脚之际,一个号称“全栈服务平台”的新秀 Qilin(又名 Agenda)快速接管资源、招募盟友,并用更工业化的 RaaS 运营模式刷新了勒索软件的“天花板”。

1 | “前浪”退潮:黑帮大佬们的自毁与互咬

时间

事件

影响

2025-03

RansomHub

 暗网站点无预警下线;几天后被竞争对手 DragonForce 宣称“接管”

数十家正在谈判的受害者陷入僵局,赎金沟通中断

2025-03

BlackLock

(前身 Eldorado) 漏洞被 Resecurity 利用,本地文件包含漏洞泄出配置;随后又被 DragonForce 二次入侵

疑似兼并,BlackLock 与 DragonForce 代码高度同源

2025-05

LockBit / Everest

 泄密站被“xoxo from Prague”团伙攻破,“Don’t do crime” 口号+完整数据库泄露

LockBit 内部聊天、受害者清单外流,品牌信誉重创

内部背叛、暗网“黑吃黑”与执法高压交织,老牌 RaaS 的“信任链”被连环爆破,为 Qilin 留出可乘之机。

2 | Qilin:从“勒索团伙”到“黑客 SaaS”

维度

关键要素

细节

恶意负载

Rust(Windows) + C(Linux/ESXi)

 双栈

跨平台、性能佳;默认排除 CIS 国家 (“CIS国家”指的是“独立国家联合体”(Commonwealth of Independent States,简称CIS)的成员国。独联体是1991年苏联解体时,由多个原苏联加盟共和国组成的一个地区性国际组织,旨在促进成员国之间的经济、政治和安全合作)

加密算法

ChaCha20、AES、RSA-4096

四种模式:normal / step-skip / fast / percent

运营面板

Build Configurator、访客权限、24×7 谈判/电话轰炸

2025-04 新增 DDoS 选项,支持一键 Safe Mode 执行

特色功能

“Call Lawyer”

 按钮

内置法务+公关团队,在谈判聊天室“法律恐吓”抬价

增值服务

1 PB 数据仓库、邮件/短信 spam、专属记者撰稿

彻底产品化,“一条龙”压迫受害企业

Qilin 不再满足于“加密数据”,而是要做“勒索软件生态云”:打一套 Payload,送一套协作与压力工具,吸附解散中的旧帮派加盟。

QiLin 管理面板

3 | 攻击链与样本拆解

3.1 Windows 加载器(Rust)

  1. 受控执行:启动需密码,命令行参数驱动不同动作。

  2. 横向移动:调用 PsExec 批量推送自身至域内主机。

  3. 痕迹清除:PowerShell 循环清空 Event Log,删除影子副本。

  4. 胁迫升级

    • 修改桌面壁纸并自动打印勒索信 (Get-Printer);

    • 若参数启用,bcdedit /set {current} safeboot network 强制进入安全模式加密。

  5. VMware 打击:枚举 vCenter / ESXi,批量改 root 密码并上传二次载荷。

3.2 Linux / ESXi 变体(C)

  • 环境自适应:运行时 uname 判别 Linux / ESXi / FreeBSD / Nutanix。

  • ESXi 专杀:调整 BufferCache,优化 I/O;删除快照防恢复。

  • Nutanix CVMacli vm.update ... ha_priority=0 全局关闭 HA,继而批量 vm.force_off

  • 硬编码清单:重点加密 VM、数据库(MySQL、PG、Redis…)、容器镜像等高价值资产。

4 | 趋势洞察:勒索“工业化 2.0” 的拐点

  1. 勒索即服务(RaaS-as-a-Platform)Qilin 把法务、公关、存储、Spam、DDoS 都打包成插件,向 附属机构 收 15-20 % 抽成,极大降低作恶门槛。

  2. 跨平台高耦合Rust+C 双核覆盖 Windows 与虚拟化核心,ESXi/Nutanix 专用脚本体现其对企业虚拟化痛点的深度研究。

  3. 供应链排他明令禁止攻击 CIS 国家、设置硬编码白名单,表明背后运营者的地缘倾向与生存策略。

  4. 旧帮派并购/吸收RansomHub、BlackLock 与 DragonForce 的“合并”剧本,为 Qilin 提供了可复制模板——通过技术壁垒+资金分成,加速收编松散附属机构。

总结

热图展示qilin 入侵活动报告

过去几年,勒索软件从“一锤子买卖”走向“长尾服务”,而 Qilin 正是这一范式转移的最佳样本:它不只卖加密器,更卖“勒索场景解决方案”。传统“单点-双人”模式(开发者+部署者)正让位于“平台-加盟”模式,威胁链条因而拉长、责任更分散,溯源与制裁难度陡增。未来的防御焦点,势必从单一 IOC 响应转向 供应链级情报联动 与 虚拟化核心加固 —— Qilin 式“新贵”取代旧王,只是时间问题。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。