犯罪联盟再现：LockBit、DragonForce和Qilin集团联手

2025年10月13日 | 网络安全动态 | 0条评论

标签：安全意识, dragonforce, lockbit, qilin, 勒索软件, 联盟

背景概述

不久前我们刚报道过三家网络犯罪集团以"Scattered Lapsus$ Hunters"名义结盟的消息，如今又出现了新的威胁——LockBit集团卷土重来，这次是与DragonForce和Qilin合作。LockBit在2024年曾因国际"Cronos"行动而声名狼藉，该行动成功摧毁了该犯罪团伙，逮捕了部分成员并控制了其用于攻击的基础设施。

当时在暗网论坛上就有声音表示，这并不意味着该集团活动的终结，他们迟早会重返舞台，可能以不同的名称或使用不同的工具和技术组合。

核心要点

• 2025年9月，网络犯罪集团Lockbit、DragonForce和Qilin宣布组建联盟
• 合作内容包括：技术和知识交流、基础设施和资源共享、攻击协调
• 联盟成立紧随LockBit 5.0新版本软件发布之后，标志着LockBit集团在因Cronos行动中断一年多后重返网络犯罪舞台

技术细节分析

在沉寂一年多一点时间后，LockBit集团因宣布与主要勒索软件集团合作而再次成为焦点。

上述声明在LockBit 5.0平台新版本发布后不久公布，表明该集团正努力重建其昔日声誉。此外，根据趋势科技安全研究人员的观点，LockBit 5.0构成实际威胁，主要原因是其支持多平台（Windows、Linux、ESXi）以及采用高级规避检测技术，包括：

• 代码混淆
• 反射DLL注入技术加载payload
• 修补事件追踪 for Windows以隐藏活动痕迹
• 函数和方法名哈希处理
• 日志清理

各集团现状

拥有如此先进系统的LockBit本可以独自在网络犯罪世界中重获地位，但导致联盟形成的情况值得关注。

LockBit集团因Cronos行动而严重削弱。与此同时，Qilin集团通过对欧洲和北美目标发动一系列攻击而声名鹊起。据估计，在最近一个季度，该集团发动了200多次攻击，使其成为最活跃的勒索软件集团之一。值得注意的是，今年8月底，波兰公司Ekotrade成为攻击目标。

DragonForce集团的情况略有不同。就攻击频率而言，它不如Qilin活跃。但一段时间以来，该集团一直专注于建立自己的勒索软件"卡特尔"，由较小的团体组成。通过这种方式，它可以更战略性地行动，协调攻击目标并创建任务子组，以最大化行动成功率。

联盟影响评估

这些行为者的联盟可被解读为世界上第一个真正的勒索软件联盟的形成，其中各个成员联合力量以实现各自目标。

• LockBit集团拥有威望，以对公共机构和私营企业的惊人攻击而闻名
• Qilin已成为勒索软件领域的主要参与者，被公认为最危险的集团
• DragonForce在协调集团间合作方面拥有经验

它们的结合可能导致攻击规模扩大和勒索软件行动规划更加有效，这可能产生深远后果。据评估，勒索软件攻击的规模将继续增加，而及早检测的机会将急剧下降。

ReliaQuest的研究人员在分析这一趋势时观察到，发布数据泄露的网站数量急剧增加。与去年同期相比，这一增长几乎高出50%。目前，维持着约81个网站，网络犯罪分子在这些网站上炫耀他们的成就并发布被盗数据片段，以证明攻击的有效性。

行业趋势展望

今年在网络犯罪领域带来了许多变化。从进行的安全事件分析来看，我们越来越少地面对单个行为者。使用的技术、战术和程序表明，攻击背后是不同的网络犯罪集团，这证实了联盟的形成。

我们不久前刚报道过Lapsus$、Scattered Spider和ShinyHunters集团的联盟及其创建名为ShinySp1d3r的勒索软件即服务想法，现在又出现了关于另一个可能更危险、后果更不可预测的联盟的信息。

安全建议

因此必须提出这个问题：我们是否拥有足够的数据恢复和系统运行恢复能力，而不是仅仅相信我们的环境是安全的，攻击者永远不会获得对我们基础设施的访问权限？

因此，实施与定期备份相关的程序并检查创建的备份是否允许环境恢复至关重要。缺乏适当的程序可能导致严重后果，Jaguar Land Rover对此有着痛苦的教训。

来源：reliaquest.com/blog, trendmicro.com