第三章 勒索攻击者行为与攻击手段分析
一、勒索家族的组织发展与近期事件分析
1.Qilin 与 DragonForce
1.1 引言:从同质化竞争到双极分化
回顾2024至2025年的网络安全态势,全球勒索软件即服务(RaaS)生态经历了深刻的结构性重塑。这并非简单的技术迭代,而是一场根本性的运营模式变革。根据Solar威胁情报中心的持续监测,在国际执法机构高压打击的背景下,勒索软件市场并未萎缩,而是呈现出显著的“双极分化”特征。以LockBit被打击后的市场真空为催化剂,生态内部迅速分化为两种截然不同的演进路径:以DragonForce为代表的“低门槛规模化扩张”模式,和以Qilin(麒麟)为代表的“高技术精英化狙击”模式 。本章将深入剖析这两种分化模式的技术特征、攻击链条及实战案例,为企业构建新一代纵深防御体系提供决策依据。
1.2 DragonForce:勒索攻击的“工业化”与规模扩张
在后LockBit时代,DragonForce组织敏锐地捕捉到了底层攻击者市场的需求空白,迅速调整战略,通过降低门槛来换取攻击规模的爆发式增长。
2025年第四季度,DragonForce激进地重塑了其招募规则,这一举措在暗网引起了广泛震动。传统的头部勒索组织通常设立数千美元的高昂押金和繁琐的人工审核流程,而DragonForce打破了这一行规。情报显示,该组织将加盟费直接降至500美元,这一价格仅为行业平均水平的10%左右,极大地降低了网络犯罪的经济门槛。
| 运营维度 |
传统高端 RaaS 模式 |
DragonForce 扩张模式 |
| 加盟押金 |
$2,000 -$10,000 |
$500 |
| 准入审核 |
技术面试、历史案例验证 |
自动化注册(Auto-Reg) |
| 技术支持 |
专属开发团队支持 |
模块化自动化生成器 |
| 利润分成 |
60% - 75% |
80% 或更高 |
更为关键的变革在于“自动化注册机制(Auto-Reg)”的引入。潜在攻击者不再需要经过复杂的技术面试或背景审查,仅需完成支付,系统便会自动授予管理面板访问权限,并即时分发勒索软件生成器工具包 。这种“即付即用”的模式将勒索攻击转化为了一种低技能要求的流水线作业,导致了攻击源的大量涌现。
在技术层面,为了配合这种“人海战术”,DragonForce 提供了集成化的 BYOVD(Bring Your Own Vulnerable Driver)技术。攻击者利用合法但存在漏洞的内核驱动程序(如 truesight.sys)来强制关闭银行终端上部署的高级检测响应(EDR)系统,从而为后续的渗透扫清障碍。此外,DragonForce 在2025年3月宣布转型为“勒索软件财团”模式,允许加盟商使用底层技术构建如 Devman 或 Mamona 等“白标品牌”。这种品牌多元化策略有效地规避了执法部门针对单一品牌的集中打击,使得金融机构在进行威胁情报监测时面临更大的识别难度。
1.3 Qilin:法律武器化与针对核心资产的“手术刀式”打击
与 DragonForce 的量产倾销模式形成鲜明对比,Qilin(麒麟)组织选择了一条极度精英化的“高空狙击”路线。该组织通过高昂的准入费用和严格的审核机制,筛选出具备 APT 级别能力的专业团队,专门针对全球核心金融基础设施实施精准打击。
Qilin 在 RAMP 论坛上的招募策略展现了明确的地缘政治与技术筛选逻辑。对于俄语背景的攻击者,其维持免费准入以巩固势力范围;而对于英语及其他语言背景的加盟者,则设立了高达 5,000 美元的“履约保证金”及严格的渗透测试面试。这种机制确保了其成员具备极高的专业水准,主要针对欧美及亚洲发达地区的金融核心系统进行渗透。在技术工具上,Qilin 持续优化基于 Rust 语言编写的高性能勒索载荷,特别是针对 VMware ESXi 和 Linux 系统开发了专用加密器。鉴于现代银行数据中心高度依赖虚拟化架构,一旦 ESXi 宿主机被攻陷,承载核心交易系统和数据库的整个私有云环境将面临瘫痪风险 。
更为致命的是 Qilin 战略层面的“法律武器化”转型。2025年9月,Qilin 在其面板中引入了极具创新性的“Call Lawyer”(咨询律师)功能。该组织不再单纯依赖加密数据进行勒索,而是组建专门团队深度挖掘受害者数据中的合规漏洞,如税务违规、洗钱嫌疑(AML/KYC疏漏)或违反 GDPR 的隐私泄露证据。一旦发现此类“软肋”,Qilin 会撰写专业的“合规评估报告”并起草致监管机构(如 FBI、各国金融局)的举报信。这种策略迫使金融机构在“支付赎金”与“面临监管重罚及牌照撤销”之间做出选择,将勒索攻击提升到了法律博弈的新高度。
1.4 暗网生态协作与实战案例警示
这两个看似独立的组织在 RAMP(Ransom Anon Market Place)论坛上构成了复杂的协作网络。情报显示,Qilin 的核心管理员“Haise”长期活跃于该论坛,并通过购买昂贵的顶部广告位来掌控流量分发。当潜在加盟商因无法满足 Qilin 的高技术门槛或资金要求时,往往会被广告引导至 DragonForce 的自动化平台。这种“高低搭配”的流量收割模式,表明勒索生态已形成跨组织的协同效应。
2025年11月发生的苏黎世恒比银行(HBZ)泄露事件,是这一生态威胁的集中体现。Qilin 组织攻陷该银行并窃取了约 2.5TB 的敏感数据,涵盖了极高价值的客户 KYC 资料(护照、资产证明)、核心交易记录以及内部风控系统源码。分析显示,攻击者在内网潜伏了 30 至 90 天,期间利用合法工具进行横向移动和数据分批渗出,最终在非工作时间对 ESXi 存储卷实施了加密打击。这一案例警示我们,防御的重心必须从单纯的“预防加密”前移至对“数据渗出”和潜伏期流量异常的全路径监测。
1.5 迈向“主动式”安全防御体系
面对 DragonForce 的“人海战术”与 Qilin 的“法律合规勒索”,传统的单点防御已难以为继。各组织机构必须构建涵盖技术、合规与情报的三位一体防御体系。
首先,针对自动化攻击,需强化终端防护的“内核级”博弈,实施基于硬件信任根(TPM)的驱动校验以抵御 BYOVD 攻击,并全面推行基于 FIDO2 的硬件密钥(UKey)以对抗自动化凭据填充。同时,必须部署自动化外部攻击面管理(EASM),像攻击者一样高频扫描并清理未加固的 RDP 和 VPN 节点。
其次,应对“法律武器化”威胁,合规部门应制定“勒索软件专项法律响应剧本”,定期进行数据泄露后的法律压力测试。对于非核心业务数据,应采用国密标准进行静态脱敏加密,确保即使数据被窃,攻击者也无法获取明文内容作为法律勒索的筹码。
最后,建立基于暗网情报的主动闭环至关重要。通过对 RAMP 论坛中核心人物(如 Haise)的持续监测、分析加盟费用的异动以及追踪“防弹托管”服务商的流量特征,金融机构可以实现从被动响应到主动预警的战略跨越,从而在日益严峻的跨境勒索浪潮中守护信用基石。
2.关于 LockBit 兴衰全貌的深度长文分析
2.1 帝国崛起:从“.abcd”到高度企业化的 RaaS 巨头
LockBit 的发家史本质上是一部将网络犯罪进行“极致商业化”的演进史。该组织最早于 2019 年 9 月以“.abcd”后缀的勒索软件现身,那时尚不起眼,但其核心团队迅速展现出了区别于传统攻击者的商业野心。他们并未选择单打独斗,而是确立了极其成熟的“勒索软件即服务”(RaaS)商业模式:核心管理层专注于恶意软件代码的迭代(开发构建器)和洗钱通道的维护,而将具体的入侵、渗透和部署工作外包给被称为“附属成员”(Affiliates)的加盟攻击者。这种 20/80 的利润分成模式(核心层拿 20%,打手拿 80%)极大地激励了全球攻击者为其效力。
到了 2021 年至 2022 年,随着 LockBit 2.0 (Red) 和 3.0 (Black) 的发布,该组织达到了巅峰。他们不仅在技术上引入了“StealBit”工具以实现自动化数据窃取,更在运营上模拟了合法科技巨头:他们设立了“漏洞赏金计划”,悬赏邀请研究人员找自己代码的 Bug,以此彰显技术自信;他们甚至建立了分层级的“客户服务”体系,试图给受害者一种“只要付钱就一定能恢复数据”的虚假诚信感。情报画像显示,该组织的最高领导者“LockBitSupp”具有极强的双重人格特征——一方面表现出极度的傲慢、独裁和对技术的病态控制欲(被称为“BOSS”),另一方面又有一个相对温和的分身负责在 Tox 平台上处理日常沟通。然而,这种看似坚不可摧的帝国实则建立在沙以此之上,其内部早已因为后台带宽不足导致无法真实发布被盗数据,以及对附属成员收取高额入场费(约 777 美元比特币)而积怨已久。
| 版本名称 |
推出年份 |
主要特点/变化 |
| 初始版本 |
2019 |
加密文件后添加“.abcd”扩展名 |
| Lockbit 2.0 |
2021 |
引入“StealBit”恶意软件,自动化窃取数据过程;速度快,加密效率高;针对Linux主机,特别是VMware ESXi服务器,发布了Linux-ESXi Locker 1.0版本。 |
| Lockbit 3.0 |
2022 |
在经过两个月的beta测试后于6月下旬发布;主要特点包括漏洞赏金计划。 |
| Lockbit-NG-Dev |
2024 |
当执法部门在2024年2月打击Lockbit服务器时,发现该版本正处于高级开发阶段;使用.NET框架编写,与早期使用的C和C++编程语言不同;Lockbit在2024年12月宣布了4.0版本,计划于2025年2月发布。 |
| SuperBlack |
2025 |
2025年3月,网络安全研究人员报告了一种名为SuperBlack的新勒索软件,该软件以Lockbit 3.0(也称为Lockbit Black)为基础;该变种删除了Lockbit品牌标识,更改了赎金票据,并添加了自定义数据泄露模块。也被称为LockBit 4.0 |
2.2 技术军火库:从 C++ 到 .NET 的疯狂迭代与漏洞武器化
LockBit之所以能长期霸榜,关键在于其技术栈的敏捷迭代与无孔不入的攻击战术。在软件形态上,他们经历了彻底的蜕变:早期的加密器基于 C/C++ 编写,追求极致的加密速度;而到了 2025 年发布的 LockBit 4.0(亦称 SuperBlack),核心团队为了对抗安全厂商的特征检测,将代码库全面转向 .NET 框架,并引入了复杂的代码混淆和反沙箱机制。为了适应企业级环境,他们特别针对 VMware ESXi 虚拟化平台开发了 Linux 版本的加密器(LockBit Linux-ESXi Locker),这意味着他们能通过一条指令瘫痪企业最核心的服务器集群。
在攻击链条(Kill Chain)上,LockBit 展现了“全漏洞利用”的特征。情报显示,从 2024 年底到 2025 年初,他们的附属成员密集利用了 Fortinet 防火墙的认证绕过漏洞(CVE-2024-55591、CVE-2025-24472)作为初始突破口,同时结合 Windows Confluence 的提权漏洞(CVE-2023-22527)深入内网。一旦进入系统,他们便熟练运用“就地取材”(LOLBAS)策略,滥用 PowerShell、PsExec 等合法工具,配合 Cobalt Strike 和 Mimikatz 进行横向移动和凭证窃取。为了确保持久化,他们会通过修改注册表禁用 Windows Defender,利用“自带易受攻击驱动程序”(BYOVD)技术强行杀灭 EDR 进程,并在系统中留下 /tmp/lockbit.log 等进度文件。这种高度工业化、自动化的攻击流程,使得即便是技术平庸的附属成员,也能借助 LockBit 的工具造成毁灭性破坏。
2.3 崩塌前夜:Cronos 行动与领导者“脱面具”
2024 年 2 月的“Cronos 行动”是 LockBit 命运的转折点,但这并非简单的服务器查封,而是一场精心策划的心理战。英国 NCA、美国 FBI 等多国执法机构不仅接管了 LockBit 的暗网泄露站点,还将原本用来恐吓受害者的倒计时页面改造成了揭露 LockBit 成员信息的倒计时。执法机构向登录后台的攻击者弹窗展示其真实的 IP 地址和聊天记录,这种“反向恐吓”瞬间击碎了 RaaS 模式赖以生存的匿名信任基石。
更为致命的一击来自于对首脑身份的彻底剥离。2024 年 5 月,美国司法部正式确认那个在暗网呼风唤雨的“LockBitSupp”真实身份为 31 岁的俄罗斯沃罗涅日居民 Dmitry Khoroshev。情报细节甚至精确到了他居住的公寓楼层、驾驶的豪车以及他用来伪装合法收入的服装电商公司(Tkaner LLC)。调查发现,这位所谓的“攻击者教父”曾因未开启 VPN 登录服务器而暴露了真实家宽 IP(80.xx.xx.194)。这一身份的曝光让整个网络犯罪圈意识到,LockBit 的核心不仅不再安全,甚至可能已经成为了执法部门监控下的“透明人”,这导致大量资深附属成员开始恐慌性撤离。
2.4 终局:2025 年数据泄露与“僵尸化”运营的真相
如果说 Cronos 行动是外伤,那么 2025 年 5 月发生的内部数据库泄露则是致死的内伤。攻击者利用 PHP 远程代码执行漏洞(CVE-2024-4577)——讽刺的是,这正是 LockBit 惯用的攻击手段——攻破了 LockBit 重建后的基础设施。这次泄露的数据量之大、敏感度之高前所未有:包含了近 62,400 个比特币钱包地址、75 名核心成员的用户名及明文密码,以及超过 4,400 条详细的勒索谈判记录。
这些泄露的聊天记录揭开了 LockBit 衰败的遮羞布。记录显示,在针对俄罗斯切巴库尔市政府以及中国受害者的攻击案例中,LockBit 提供的解密器根本无法正常工作。面对受害者(甚至中间人)支付赎金后依然无法恢复数据的质问,LockBit 的运营人员因技术故障无法解决,只能选择“装死”沉默。这种“收钱不办事”的信誉破产,加上附属成员担心自己的身份随明文密码一同暴露,导致 LockBit 的生态系统在 2025 年彻底崩盘。如今的 LockBit 虽然名义上发布了 4.0 版本,但实际上已沦为一个充斥着低端攻击者、管理混乱、工具失效的“僵尸组织”,其品牌影响力已被 RansomHub 等新兴对手迅速瓜分。
3.深度威胁情报分析:Weaxor 勒索软件 (Mallox 家族变种)
3.1 执行摘要
Weaxor 被确认为老牌勒索软件 Mallox (TargetCompany) 的最新品牌重塑版本。虽然它继承了 Mallox 针对 Microsoft SQL Server (MSSQL) 的攻击传统,但在战术上进行了重大升级。 最核心的变化在于:
- 引入新型漏洞:除了传统的暴力破解,开始利用 React2Shell (CVE-2025-55182) 漏洞获取初始访问权。
- 独特的投递机制:使用 Cobalt Strike Beacon 作为中间载荷,并利用
sqlps.exe(SQL Server 自带的 PowerShell 工具)替代传统的 powershell.exe 执行恶意脚本,极大地提高了其在受管环境中的规避能力。
3.2 源码分析
相似之处
- 都为不加密固定的五种语言俄语、哈萨克语、白俄罗斯语、乌克兰语和土库曼语;
- 都调整电源计划为高性能模式;
- 删除的注册表内容一致;
- 密钥生成和加密算法基本一致,但是rox在生成随机数的情况下又再次生成了0x38个字节的随机数,修复了mallox会被破解出密钥的情况;
- 信息回传的格式,以及url极其相似,mallox url如下:
http://193.106.xxx.xxx/QWEwqdsvsf/ap.php
weaxor url如下:
http://193.143.xxx.xxx/Ujdu8jjooue/biweax.php
不同之处
- weaxor未对关机键进行隐藏;
- 获取文件方式不同,mallox获取文件方式为遍历文件,然后通过完成端口将文件提交到队列中,加密线程通过队列获取文件,而weaxor则是通过一个全局列表来传输;
- weaxor开启了较高的编译优化,而malllox则没有。
3.3 详细技术分析
3.3.1 身份与演变
- 家族谱系:Weaxor 是 Mallox 家族的直系后代。Mallox 自 2021 年活跃以来,曾多次更名(Fargo, Tohnichi, Xollam),Weaxor 是其应对近期执法压力与安全检测的最新“马甲”。
- 重塑目的:通过更改品牌名和文件后缀(主要观测到
.rox,部分情报提及 .weax),试图绕过基于旧 Mallox 特征(如扩展名 .mallox)的静态防御规则。
3.3.2 攻击链分析
初始访问 (Initial Access)
- 传统路径:针对公网暴露的 MSSQL (TCP 1433) 进行暴力破解。
- 新增路径 (关键升级):利用 React2Shell (CVE-2025-55182) 漏洞。这是一个存在于某些 Web 应用框架中的严重远程代码执行漏洞,攻击者可借此直接在服务器上执行命令。
载荷投递与执行 (Payload Delivery)
Seqrite 白皮书特别指出了其投递方式的多阶段 (Multi-stage) 特征:
- 第一阶段:通过入侵点投放高度混淆的批处理文件(
.bat)。
- 第二阶段:批处理文件解密并执行 PowerShell 脚本。
- 规避点:攻击者调用
sqlps.exe 来运行 PowerShell 命令。由于 sqlps.exe 是微软官方签名的合法二进制文件(LoLBin),且通常被安全软件视为可信进程,这能有效绕过部分 EDR 的监控。
- 第三阶段:注入 Cobalt Strike Beacon Shellcode 到内存中。
- 最终阶段:Beacon 连接 C2 服务器(如报告中提及的
193.143.1.139),下载并执行最终的 Weaxor 勒索软件主程序。
防御规避 (Defense Evasion)
- AMSI Bypass:脚本中包含特定的代码片段,用于修补内存中的
AmsiScanBuffer 函数,从而禁用 Windows 的反恶意软件扫描接口 (AMSI)。
- 内存执行:主要攻击逻辑在内存中完成,减少磁盘落地文件。
- 服务破坏:Weaxor 会修改注册表以禁用系统的“关机”、“重启”和“注销”选项,防止管理员在发现异常时通过重启中断加密过程。
4.Phobos 与 8Base 勒索软件组织的生态演变与覆灭
4.1 核心结论:8Base 与 Phobos 的真实关系
长期以来,安全业界怀疑 8Base 是 Phobos 的“换皮”版本。此次联合执法行动及司法文件最终实锤了这一点:
- 从属关系确认:8Base 并非独立的 RaaS 开发商,而是一个使用 Phobos 勒索软件极其活跃的附属组织(Affiliate Group)。
- 代号“Affiliate 2803”:司法文件披露,8Base 及其背后的运营者在 Phobos RaaS 生态系统中的内部代号为 "Affiliate 2803"。
- 同源性:HHS 技术报告指出,8Base 部署的勒索软件载荷本质上是 Phobos v2.9.1 版本,未进行核心代码修改,仅在勒索信和后缀上进行了品牌定制(如
.8base)。
4.2 组织发展历程与生态架构
4.2.1 Phobos:RaaS 平台提供商
- 起源 (2019):Phobos 诞生于 Dharma/CrySis 勒索软件家族,主要通过 RaaS 模式运营。
- 市场定位:与专注于大型企业猎杀(Big Game Hunting)的组织不同,Phobos 专注于中小型企业 (SMB)、医疗和教育机构,采取“薄利多销”策略。
- 管理员角色:核心管理员(如已引渡的 Evgenii Ptitsyn)负责开发恶意软件、维护解密密钥生成服务及暗网支付平台,并向附属组织抽取分成。
4.2.2 8Base:激进的顶级附属团队
- 爆发期 (2023):8Base 虽然最早可追溯至 2022 年,但在 2023 年 5-6 月突然爆发,迅速跻身全球活跃度前列。
- 运营策略:
- 品牌化:8Base 建立了独立的数据泄露网站(Leak Site),拥有鲜明的品牌标识,试图在受害者心中建立“独立大组织”的形象。
- 话术伪装:他们在勒索信中自称“诚实的渗透测试者”,声称攻击是为了帮助企业发现漏洞(典型的鳄鱼眼泪)。
- 高频攻击:利用 Phobos 提供的基础设施,8Base 进行了极高频次的攻击,主要针对商业服务、制造和金融行业。
4.3 近期执法行动与打击成果 (2024-2025)
此次代号为 "Operation Phobos Aetor" 的国际联合行动是对该网络的毁灭性打击。
4.3.1 核心人员落网
- 8Base 领导层(在泰国被捕):
- Roman Berezhnoy (33岁) 和 Egor Nikolaevich Glebov (39岁):两名俄罗斯公民在泰国普吉岛被捕。
- 指控:DOJ 指控这两人正是 8Base ("Affiliate 2803") 的实际运营者。他们利用 Phobos 软件勒索了全球超过 1000 个实体,获利超 1600 万美元。
- Phobos 管理员(在韩国被捕):
- Evgenii Ptitsyn (42岁):Phobos RaaS 平台的核心管理员于 2024 年 6 月在韩国被捕,并于 11 月引渡至美国。他的落网可能为追踪 8Base 提供了关键情报。
4.3.2 基础设施摧毁
- 服务器查封:位于全球多地的 27 台关键服务器被查封。
- 网站接管:8Base 的暗网数据泄露网站已被德国巴伐利亚州刑事警察局(LKA)接管,并挂上了执法机关的宣告页面。
- 密钥获取:Europol 透露已掌握部分解密密钥,并正在帮助受害者恢复数据。
4.4 技术战术分析 (TTPs)
结合 HHS 的分析报告,8Base (Affiliate 2803) 在使用 Phobos 时的战术特征如下:
4.4.1 初始访问 (Initial Access)
- SmokeLoader:这是 8Base 区别于其他 Phobos 附属组织的显著特征。他们高频使用 SmokeLoader 作为初始加载器来投放勒索软件。
- RDP 暴力破解:延续了 Phobos/Dharma 的传统,利用弱口令扫描开放的 3389 端口。
- 钓鱼邮件:伪装成发票或业务文件诱导点击。
4.4.2 执行与持久化
- 系统破坏:执行标准指令删除卷影副本 (
vssadmin)、禁用恢复模式 (bcdedit)。
- 持久化:将恶意软件复制到
%APPDATA% 或启动文件夹,并修改注册表 Run 键值。
4.4.3 沟通与勒索
- 通信渠道:不提供自动化的解密门户,强制要求受害者通过 qTox 或 Email (如
onionmail.org) 进行人工谈判。
- 双重勒索:在加密前窃取数据,并威胁在泄露网站上公开(现该网站已被查封)。
4.5 综合研判与影响
此次行动是打击 RaaS 生态的一个经典案例,它不仅打掉了平台方(Phobos Admin),更精准清除了最活跃的使用方(8Base Leaders)。
- 短期影响:随着 Berezhnoy 和 Glebov 的被捕及基础设施瘫痪,8Base 品牌的活动将立即停止。全球针对中小企业的勒索攻击量级预计在短期内会有所下降。
- 长期启示:
- RDP 仍是软肋:8Base 的成功再次证明,简单的 RDP 弱口令防护依然是全球中小企业的最大短板。
- 附属组织的品牌化:8Base 证明了附属团队可以建立比 RaaS 平台本身更响亮的品牌。未来的打击行动将更加关注这些“超级附属团队”(Power Affiliates)。
- 国际合作的威力:跨越美、欧、亚(韩、泰)的联合执法表明,网络犯罪分子的避风港正在减少。
5.一场注定崩盘的“黑吃黑”与地下亿元赎金帝国
案件的转折点并非病毒爆发,而是一场业余的救援。客户在事发后病急乱投医,委托了某数据恢复中介公司。我们通过梳理9月16日至9月25日的邮件往来,还原了这场被搞砸的谈判全过程。
5.1 黑客的心理博弈:并非普通的勒索者
正规LockBit家族严格依赖Tor网络(暗网)面板进行私密谈判,绝不会使用普通邮箱。而本案的中介公司因不熟悉 LockBit 家族历史情况,试图通过邮件讨价还价。更值得注意的是黑客在沟通中暴露出的细节:
时间点:2025年9月16日 17:34 黑客首次向受害者发送勒索邮件。值得注意的是,邮件正文使用的是中文,且附件中包含了一个受害企业中IT主管“X先生”的个人专业技能证书。
图1 黑客发送的中文威胁邮件,并附高管技能证书
Solar团队分析:
- 熟悉环境: 附带正常文件说明黑客已在内网潜伏多时,对客户环境了如指掌,这是为后续索要高额赎金做心理铺垫。
- 国人嫌疑: 熟练使用中文沟通,结合后续溯源到的向日葵工具使用习惯,极有可能是境内的黑客团伙披着LockBit的外衣在作案。
- 匿名邮箱:我们尝试使用追踪邮件客户端IP,并没有发现
x-originating-ip相关字段,因为cock.li 是一个注重隐私的邮件服务商,它在邮件头中隐藏了原始发件人的真实IP地址(没有 X-Originating-IP 这样的字段)。
图2 邮件头无x-originating-ip字段
在我们今年接触了几百起勒索案例后总结:目前勒索家族逐渐呈现出APT趋势,不仅加密文件,还会长期潜伏及窃取数据。具备三大特性:高持续性、高隐秘性、高威胁性
5.2 谈判崩盘:黑客两头吃的贪婪行为
时间点:2025年9月20日 - 9月25日 中介公司(G公司)介入后,声称已经支付了赎金,要求黑客解密。黑客的回复揭开了其两头吃贪婪的想法。
图3 中介声称“钱已付,未收到解密器”,黑客表示“已发送解密器”,双方陷入僵持
5.3 中介的业余操作与客户的恐慌
时间点:2025年9月22日 09:12 受害者因急于恢复业务,告知黑客“已委托第三方公司联系”。这种表述直接暴露了客户“病急乱投医”的心理,让黑客意识到这是一只待宰的肥羊。
直到9月25日,黑客发出了最后通牒,戳穿了中介的老底:“我发现了你和代理公司的合同。那个代理公司之前坑过我们,害我们损失了好几个客户。”
图4 黑客因中介的历史欺诈行为(收了客户钱但不给黑客,或少给黑客)及黑客两头吃想法而拒绝交付密钥
行为动机剖析: 黑客之所以表现出不讲信用,本质上是在黑吃黑。通过索要合同,黑客摸清了客户的预算底线;通过拒绝中介,黑客试图绕过中介直接对客户进行二次勒索。 这再次印证了我们的观点:向黑客支付赎金是极高风险的行为,尤其是面对这种毫无信誉的散户时,往往是肉包子打狗。
5.4 资金链路追踪:触目惊心的地下金流
既然中介声称“已付款”,钱到底去哪了?Solar团队利用 MistTrack(慢雾) dashboard.misttrack.io等链上追踪平台,对涉案的比特币地址进行了深度穿透分析,结果令人咋舌。
5.4.1 锁定交易链路
根据受害者描述,当时付款给中介公司(30万元人民币),而后我们通过链上追踪中介公司的转账记录,他们在9月20日向黑客地址转账了约 0.1315BTC(10万元人民币含手续费、资金波动等)。我们锁定了两个关键地址:
- 中介控制的钱包地址: bc1qy28sl3sndu7vww4vhamh04ce28mxc2upwujag7
- 黑客接收地址: 3JP5D4XyzQcZB43QdegCzKGvoawGM6za4B
图5 MistTrack平台显示的资金流向图,确证了资金从中间人流向黑客地址
截止目前黑客钱包内的BTC仍然没有转出记录,推测等待风声过后转出,我们也在持续进行链上监控。
5.4.2 惊人的交易规模
通过对中介钱包地址的逆向溯源,我们发现这并非个例。该地址在短短一年内(截至2025年12月),资金流水异常频繁且巨大。
- 交易笔数: 超过 700 笔
- 资金规模: 累计转出 84.4759 BTC(约56096559元人民币)
图6 中介钱包对外转账链路追踪(部分数据)
图7 中介钱包地址的年度交易概览
图8 按当前汇率计算,该地址经手的赎金总额高达 5600万+ 人民币
数据背后的真相: 仅仅这一个中介的一个钱包地址,一年内就涉及了700多个受害客户,经手了数千万的赎金。按照客户描述付30万元给中介公司,中介公司付赎金10万元来计算(赎金*3)中介公司经手金额达上亿元,这足以证明国内勒索软件攻击的泛滥程度,以及地下“代付/恢复”产业的畸形繁荣。大量企业在遭受攻击后选择忍气吞声交钱,助长了黑产的嚣张气焰。
而后中介公司在购买密钥无望后(中介公司倒亏10万元)选择直接跑路,留下一地鸡毛,客户难过又气愤,于是将整个过程还原以警示大众,下文来自客户的梳理
我们是一家国内的企业,最近企业服务器感染了勒索病毒,数据都被加密了,然后找到了一家公司名叫“XX文化有限公司”的企业,然后他们宣传自己包解密,我们又去看了一下他们的官网很正规,24小时服务等,然后我们就信任了他们的技术,让他们帮我们恢复数据,并支付了30万元的费用。我们最后发现他们是支付比特币赎金给黑客团伙购买解密工具帮我们解密,他们根本没有这样的技术去恢复数据,他们只是在中间赚取大额的赎金差价,他们这样的业务行为是纵容犯罪份子更容易得到金钱,也成为了黑客团伙犯罪份子的收取企业钱财的助手,而且国家明令禁止比特币交易,国家现在严令禁止炒作虚拟币,为什么会有比特币业务?如果他们没有支付比特币,他们是支付什么给黑客?他们是不是跟黑客团伙有利益来往输送,黑客团伙负责加密,他们负责收企业的客户钱,他们还打着网络安全溯源的旗号帮客户溯源,实质上就是帮助黑客勒索敲诈企业。
5.4.3 铁证如山:单一地址流出 90 BTC
根据受害者提供的线索,我们对中介控制的这个关键钱包地址进行了全量资金穿透。审计报告显示,该地址绝非临时账号,而是一个长期活跃的资金中转枢纽。
- 资金规模(Total Sent): 截止 2026 年 1 月,该地址累计流出资金高达 90.6319 BTC。
- 价值折算: 按交易发生时的加权汇率估算,该中介仅通过这一个钱包支付给上游黑客的资金成本就高达 800 万美元(约合人民币 5,800 万元)。
- 交易频次: 链上记录显示,该地址在过去一年内从早到晚保持着高频交互,每一笔流出的比特币背后,可能都对应着一家陷入绝望的企业。
5.4.4 暴利模型推演:从 5800 万到 1.7 个亿
如果我们套用本案中复盘的 “300% 暴利模型”(即:中介向客户收 30 万,实付黑客 10 万,溢价率 300%),这组链上数据背后的真相让人不寒而栗:
| 项目 |
数据来源/计算逻辑 |
金额 (估算) |
| 中介支付成本 |
链上实证 (流出 90.63 BTC) |
¥ 58,000,000 |
| 中介收取金额 |
基于本案 3倍 溢价倒推 |
¥ 174,000,000 |
| 净利润 (黑产) |
收取金额 - 支付成本 |
¥ 116,000,000 |
Solar 深度点评:
规模推演: 仅仅这一个中介公司的一个钱包地址,在短短一年多的时间里,就经手了疑似近 1.7 亿元人民币的涉案资金。按照平均每家企业支付 10-30 万赎金计算,该地址背后涉及的国内受害企业可能多达 500-1000 家。
吸血鬼式的繁荣: 中介公司在没有任何核心解密技术的情况下,利用受害者的恐慌和信息不对称,仅靠“倒卖”黑客的解密器,就从中国企业身上吸走了 1.16 亿元 的净利润。这种“两头吃”的贪婪,正是导致本案中黑客撕票、谈判崩盘的根本原因。
资敌实锤: 最令人担忧的是,这 5,800 万元 的比特币最终通过中介之手,源源不断地流入了境外黑客团伙的口袋。这些资金成为了黑客组织招募开发者、购买 0day 漏洞、升级勒索病毒的“军费”,进而对国内企业发动更猛烈的攻击。
5.5 样本定性:李逵还是李鬼
在确认谈判无望、资金被骗后,我们回归技术本源。线下溯源处置及对被勒索机器提取到的样本svchost.exe进行了逆向分析。
通过对恶意代码的静态与动态分析,我们确认该样本实际上是利用LockBit 3.0泄露构建器生成的盗版变种。攻击者将其伪装成LockBit 5.0以制造恐慌,但其技术细节暴露了其真实身份。
[复制链接]
发表于 2026-4-13 23:02
分享到朋友圈
