勒索软件帮派崩溃，麒麟掌控全局

勒索软件领域正在经历动荡重组，以崩溃、接管和意外的内部背叛为标志。

曾经主导的团体如RansomHub、LockBit、Everest和BlackLock最近遭遇突然关闭、运营故障和暗网基础设施污损，揭示了网络犯罪生态系统的深层不稳定性。

主要勒索软件帮派的崩溃

2025年3月下旬发生了最重大的转变之一，被广泛认为是2024年最活跃勒索软件组织的RansomHub在没有任何解释的情况下消失了。该组织通过运营完善的勒索软件即服务(RaaS)模式迅速崛起，为分支机构提供高级有效载荷、可靠支付和透明运营。其恶意软件支持跨Windows、Linux和ESXi系统的跨平台部署。但就在RansomHub巩固其主导地位时，其泄露网站消失了。

几天后，竞争对手组织DragonForce公开声称已吸收RansomHub的基础设施和分支机构，甚至将RansomHub标志整合到自己的品牌中。这究竟是恶意收购、自愿合并，还是简单的机会主义品牌重塑，目前尚不清楚——但RansomHub停止了所有活动，使受害者陷入谈判困境并引发混乱。

与此同时，其他勒索软件泄露网站也遭遇意外中断。LockBit和Everest都成为签署"来自布拉格的XOXO"的匿名行为者的目标。5月8日，LockBit的泄露网站被污损并替换为嘲讽信息：

“不要犯罪。犯罪是坏的。来自布拉格的xoxo。”

攻击者泄露了包含聊天记录和运营数据的完整数据库转储，研究人员后来确认这是真实的，严重损害了LockBit的内部安全声誉。

然而，在Everest的情况下，事件仅限于污损。他们基于Tor的泄露网站同样被相同的嘲讽信息替换，但没有泄露内部数据，网站不久后下线。

另一个特别值得注意的案例是BlackLock，一个被认为是前Eldorado团体重新品牌化的中型勒索软件运营。2025年3月，Resecurity的研究人员利用其泄露网站中的LFI漏洞入侵了BlackLock。他们悄悄提取内部数据，并在可能的数据发布前预先警告了一些受害者。

几天后，DragonForce公开污损了BlackLock网站并泄露了配置文件、内部聊天和构建器工件，声称对此次入侵负责。然而，有证据表明这次行动可能是协调的，因为BlackLock的代码库和DragonForce的代码库几乎相同，而且BlackLock的管理员没有表现出任何抵抗。

麒麟的崛起

在这些混乱中，一个新的竞争者正在崛起：麒麟。在论坛和勒索软件活动跟踪器中，麒麟的存在感不断增强，运营着技术成熟的基础设施：用Rust和C构建的有效载荷、具有高级规避功能的加载器，以及提供安全模式执行、网络传播、日志清理和自动谈判工具的分支机构面板。

除了恶意软件本身，麒麟还提供垃圾邮件服务、PB级数据存储、法律指导和全套运营功能——将自己定位为不仅是一个勒索软件团体，而且是一个全方位的网络犯罪平台。

随着旧有运营在压力、背叛或重组下崩溃，麒麟正在介入，不仅填补空白，而且为下一代分支机构重新定义勒索软件即服务模式。

麒麟概述

麒麟是一个自2022年10月以来一直活跃的勒索软件即服务(RaaS)团体，通过一系列跨多个行业的高影响力网络攻击稳步建立其声誉。该团体通过向分支机构提供其勒索软件工具和基础设施来运营，从赎金支付中抽取15-20%的份额。

关键点

• 麒麟正在成为主导的勒索软件团体，利用用Rust和C编写的自定义恶意软件进行跨平台攻击，包括Windows、Linux和ESXi系统
• 该团体的面板提供高级功能，如可定制的加密模式、安全模式执行、日志清理、网络传播和安全谈判工具——所有这些都旨在方便分支机构和操作隐蔽
• 麒麟正在通过独特的服务扩展其生态系统，如法律和媒体支持、PB级数据存储和垃圾邮件工具——将自己定位为不仅是一个勒索软件帮派，而且是一个全方位的网络犯罪平台

麒麟在过去一年中变得越来越活跃，最近几个月声称发动了50多次攻击，其暗网泄露网站上列出了100多个组织。一旦他们获得网络访问权限，就会窃取敏感数据、破坏系统，并在受害者拒绝付款时发布被盗信息。赎金要求通常在50,000美元到800,000美元之间，使其成为一个灵活且以财务为动机的威胁行为者。

麒麟勒索软件即服务程序

在俄罗斯暗网论坛上，麒麟勒索软件被推广为复杂的勒索软件即服务(RaaS)解决方案，提供旨在实现多功能性和有效性的全面功能集。它被营销为高度可配置的工具，能够适应不同的攻击场景，以其强大的技术能力和额外的战略功能吸引分支机构。

该勒索软件采用强大的加密算法，包括ChaCha20、AES和RSA-4096，以安全加密目标数据。操作员可以通过四种模式进行调整：正常、步进跳过、快速和百分比，让他们优先考虑速度或彻底性。

一个显著特征是"呼叫律师"功能，在赎金谈判期间提供法律咨询以增加压力。此外，随着2025年4月引入的网络传播能力和DDoS选项，麒麟增强了其适应各种攻击场景的能力。

关键选项：

• 可靠加密：使用ChaCha20、AES和RSA4096进行不可破解的数据锁定
• 可配置模式：四个选项（正常、步进跳过、快速、百分比）以平衡速度和加密深度
• 法律协助：“呼叫律师"功能提供法律咨询以恐吓受害者
• 网络传播：如果在设置期间收集了凭据，可以通过网络传播

技术分析

概述

我们的团队对麒麟勒索软件的两个样本进行了逆向工程：一个针对Windows的基于Rust的变体和一个为Linux主机设计的基于C的变体，特别是那些运行ESXi和其他虚拟化或服务器环境的主机。我们的目标是剖析它们的功能，揭示它们的瞄准机制，并突出它们实现中的关键差异。

通过检查这些样本，我们旨在提供对麒麟跨平台策略的见解，并增强针对这种不断演变的威胁的防御能力。

麒麟加载器（Windows，Rust变体）

麒麟勒索软件通过在执行感染系统上的一系列恶意操作来运作，所有这些都由特定的命令行参数驱动，并且需要密码才能运行样本。一旦执行，它使用像PsExec这样的工具在网络中传播，瞄准其他域计算机以进行进一步感染。该勒索软件还删除卷影副本，清除Windows事件日志以掩盖其踪迹，使系统管理员更难检测。

此外，它运行PowerShell命令通过任何发现的打印机识别和打印赎金记录，进一步升级攻击的影响。该勒索软件更改受害者的桌面壁纸以视觉方式传递其赎金信息，并通过卸载磁盘映像来防止访问重要文件。

此外，它安装Active Directory PowerShell(AD PS)模块以利用域级权限，增强其控制环境的能力。在最后阶段，麒麟通过在执行所有恶意操作后自删除来删除自己的痕迹。

麒麟恶意PowerShell脚本

恶意软件包含一个专门针对VMware vCenter和ESXi主机的PowerShell脚本。

脚本的关键能力：

• 自动化vCenter枚举：脚本反序列化凭据以连接到多个vCenter服务器，在整个过程中记录其操作
• ESXi主机发现和控制：一旦连接到vCenter，它识别所有链接的ESXi主机，更改root密码，并启用SSH访问——为直接命令执行铺平道路
• 有效载荷部署：脚本的核心目标是在所有发现的ESXi主机上上传和执行恶意有效载荷
• 所有主机上的root密码修改和SSH激活
• 管理程序上的有效载荷执行

麒麟勒索软件（Linux，C变体）

在2022年和2023年，多个供应商报告麒麟勒索软件开始不仅针对Windows，还针对Linux主机。为了更深入地了解其行为和特定目标，我们对Linux变体进行了深入分析。

分析的麒麟样本是用C编写的。这个Linux变体不使用打包或混淆，因此其恶意意图可以通过运行strings命令简单地暴露。

勒索软件样本有一个嵌入的使用帮助消息，可能用于调试。可用选项如下：

一旦密码检查成功，勒索软件会对其运行的系统进行分析。

恶意软件调用uname并检查恶意软件是否运行在：

• Linux
• ESXi
• FreeBSD
• Nutanix
• “未知”（如果无法确定哪个Linux发行版）

根据ESXi主机或Nutanix主机的检测，它将执行不同的操作。

ESXi VSphere

对于VMWare ESXi主机，它将执行以下命令：

最后，恶意软件通过增加缓冲区缓存大小和减少刷新间隔来优化加密期间的I/O性能：

Nutanix CVM

如果检测到Nutanix主机，它使用Acropolis CLI接口执行以下操作。

指标 of Compromise (IOCs)

IP地址

• 185[.]208.156[.]157 - FTP数据共享
• 185[.]196.10[.]19 - FTP数据共享
• 80[.]64.16[.]87 - Wikileaksv2

SHA-256

Windows版本： 31c3574456573c89d444478772597db40f075e25c67b8de39926d2faa63ca1d8 C9707a3bc0f177e1d1a5587c61699975b1153406962d187c9a732f97d8f867c5

Linux版本： 13cda19a9bf493f168d0eb6e8b2300828017b0ef437f75548a6c50bfb4a42a09 a7f2a21c0cd5681eab30265432367cf4b649d2b340963a977e70a16738e955ac

MITRE ATT&CK 映射