Qilin勒索軟件組織|網絡攻擊勒索的攻勢隨時令全球網絡淪陷【神秘學院104】
- 30 Oct 2025
2025年10月,日本啤酒品牌朝日(Asahi)遭遇勒索軟件攻擊,導致全國多數工廠停擺,最暢銷的 Super Dry 啤酒與飲品供應鏈中斷,便利商店出現缺貨,企業陷入前所未有的混亂。攻擊者是名為「Qilin」的勒索軟件組織,他們聲稱竊取了約 27GB 的資料,包括預算、合約與個人資訊。雖然朝日已恢復部分生產與出貨,但供應仍未穩定,日本政府緊急介入並成立專屬辦公室展開行動,事件突顯了 Qilin 的技術能力與心理戰術,也讓全球網絡安全界再次關注這個俄語系勒索軟件組織的來歷與行動模式。
從 Agenda 到 Qilin
Qilin 的前身是名為「Agenda」的勒索軟件家族,最早於 2022 年被資訊安全研究人員發現,Agenda具備高度定制性,能針對不同目標調整攻擊方式,後來該組織改名為「Qilin」,並重寫程式碼,除了執行效率極高,亦能避開許多傳統防毒軟件的偵測,顯示其技術演進與對抗偵測的能力。
Qilin 的名稱來自東亞文化中的神獸「麒麟」,象徵祥瑞與和平,院長認為這個選擇可能具有反諷意味,或是刻意挑戰文化象徵,將原本代表保護與秩序的形象轉化為網絡犯罪的代號,亦有可能是,他們認為所做的事有另一種意義……根據資訊安全社群觀察,Qilin 的語言環境與操作習慣顯示其核心成員可能來自俄語圈子,與其他俄羅斯網絡犯罪集團如 Conti、REvil、Black Basta 等有技術或資源上的交流。
Qilin 採用「勒索軟件即服務」(Ransomware-as-a-Service, RaaS)模式,提供工具給加盟者(affiliates)使用,自己則負責維護平台與技術支援。這種模式讓他們能快速擴張,吸引更多駭客加入,他們最常使用的策略是「雙重勒索」,首先癱瘓企業的 IT 系統,使營運停擺,再竊取敏感資料並威脅公開,迫使企業支付更高贖金,Qilin 的資料外洩網站會公開部分被竊資料作為「證據」,並設下倒數計時器,製造緊迫感,他們的談判人員訓練有素,善於操控語言與情緒,讓受害者感到無路可退,而在技術上的程式碼高度模組化,能針對不同系統與防禦機制進行調整。
重大攻擊事件和運作模式
除了朝日事件,Qilin 在過去幾年中也發動過多次攻擊,顯示其全球滲透能力,在2023年就有三次龐大的攻擊行動,分別是泰國能源儲存系統
(Thornburi Energy Storage Systems)、中國汽車零件製造商延鋒(Yanfen)及英國的醫療系統,導致病患資料與電郵外洩。在2025 年 4 月更首次作出全球攻擊浪潮,合共發動了 74 次攻擊,成為當月最活躍的勒索組織,涵蓋北美、歐洲、亞太地區,目標包括製造業、專業服務、醫療與能源等領域。
Qilin 的厲害除了是技術與策略,還有對暗網生態的掌握,他們經營「資料外洩」網站,公開部分被竊資料以施壓,並在地下論壇招募加盟者,提供教學與工具包,這種去中心化的運作模式讓 他們更難被瓦解,他們不像傳統非法組織那樣有明確的層級結構,而是像一個技術平台,讓不同駭客團體能快速加入並發動攻擊。
事實上,更大的危機正在降臨,全球網絡安全面臨新威脅,隨著美國網絡安全公司 ReliaQuest 在2025年第三季的報告中揭露,一場可能改變全球網絡攻擊格局的重大合作正在展開。三個知名的勒索軟件集團——LockBit、DragonForce 和 Qilin——正式結盟「Cartel」,準備共享攻擊技術與資源,這可能讓未來的網絡攻擊更頻繁、更具破壞力,真是名符其實的黑暗聯盟!
勒索軟件三巨頭結盟
這三個集團在技術和策略上作的整合,將交換攻擊計劃、漏洞利用程式與滲透管道,甚至共用伺服器與資料外洩網站,以降低成本並擴大攻擊範圍。這種合作可能讓他們的攻擊更有效率,也更難防範,而DragonForce 是最早提出合作的一方。他們擅長跨平台滲透與資料外洩操作,認為與其他集團聯手能提高收入並掌控市場。LockBit 和 Qilin 隨後加入,三方皆為俄語使用者,語言與文化背景相近也促進了合作的可能性。
LockBit 曾幾何時是勒索軟件界的代表組織,早在2020年就與另一集團 Maze 合作,Maze 更是首批建立資料外洩網站的集團之一,專門用來公布未付款企業的敏感資料,然而,LockBit 在2024年遭到國際執法機構聯手打擊,全球34台伺服器被關閉,技術設施與資料外洩網站遭接管,超過200個加密貨幣帳戶被凍結,美國司法部更起訴了開發者 Dmitry Khoroshev,並懸賞1,000萬美元通緝他,使得 LockBit 一度沉寂。
但在2025年9月,LockBit以「LockBit 5.0」版本回歸並重新招募成員,更公開表示將攻擊核能發電廠、水力發電廠等關鍵基礎設施,這當然被視為對執法機構的報復,也打破了過去勒索軟件集團刻意避開重要基礎設施的潛規則,ReliaQuest 分析指出,這場結盟可能讓全球勒索攻擊變得更有組織、更具技術性。三方的合作不僅提高了攻擊效率,也可能讓受害範圍擴大,對企業與政府構成更大威脅。
相信熟悉經濟學的院友,一定明白何謂「Cartel」,意思即是由一組獨占市場的企業聯盟,透過協調定價、分擔市場、避免競爭來最大化利潤,現在聯盟組織借用此詞,暗示他們掌握主導市場的條件和能力,包括統一分成比例、共享攻擊目標、減少附屬成員流失,並擴大對關鍵基礎設施的攻擊範圍。
儘管三方已展開合作,並積極招募其他勒索軟件集團加入,但目前尚未發現他們有聯合發動攻擊的實例,也沒有建立共同的資料外洩網站,不過院長相信,這可能代表他們仍處於策略協調,又或是各種初期階段的整合。
不過,這樣的結盟怎可能沒引起全球資訊安全界的高度警覺呢?院長認為他們一旦開始實際作戰,將對企業、政府機構甚至關鍵基礎設施造成前所未有的威脅,這場勒索軟件集團的高調結盟行動,象徵著網絡犯罪正朝向更高效率、更強技術、更大規模的方向發展,企業與政府機構有什麼更強大的防護策略呢?現在網絡攻擊已不再是單一事件,而是由跨集團發動的複合式攻擊,這場無形的戰爭,到底是道高一尺?還是魔高一丈?各位院友有什麼意見呢?
