勒索软件组织Qilin持续称霸网络攻击生态

打开网易新闻 查看精彩图片

根据NCC Group每月网络安全晴雨表收集的数据显示，曾在2024年对英国国民医疗服务体系主要供应商发起严重网络攻击的勒索软件组织Qilin，在2026年1月仍保持其在勒索软件生态系统中的"头号"地位，占所有观察到攻击的近五分之一。

在最新报告中，NCC表示1月份观察到108起Qilin攻击，占总数的17%，尽管比12月的170起攻击有所下降。NCC指出，一般攻击量在这个时期确实会下降，1月份的情况也是如此，活动量下降17%至651起报告事件。

NCC网络情报和响应副总裁马特·赫尔表示，这种活动模式与去年所见情况密切相关。"考虑到2025年的规模和破坏性，这种模式可能是2026年将遵循类似路径的早期信号。组织不应将月度下降误认为风险的减少。"

至于Qilin，其攻击没有停止的迹象。在过去几天内，该组织声称攻破了美国运输工人联盟第100分会，影响纽约市公共交通系统41000名现职员工和26000名前员工。NCC表示，该团伙一直针对关键和工业部门的组织，因为在这些领域，运营中断和敏感数据泄露可以增加向勒索要求屈服的压力。

Qilin活跃约三年半时间，曾一度使用Agenda这个名称，采用标准的勒索软件即服务模式，将其工具分发给可信任的附属机构网络，让他们代为执行恶意行为。

根据思科Talos团队去年秋季编制的数据，Qilin记录的受害者数量最多的是美国，有333名已知受害者，其次是加拿大、英国、法国和德国。当时Talos表示，英国约有24名已知Qilin受害者。

"由于地缘政治因素、经济激励和广泛数字暴露的混合，北美仍然是最受针对的地区。Qilin对美国组织的高调攻击显示了顶级威胁行为者如何专注于数据和中断具有最大价值的部门，"赫尔说。

NCC上个月观察到的其他最活跃勒索软件行动包括Akira，进行了68次已知攻击；sinobi有56次；INC Ransom有47次；Cl0p有46次。工业部门仍然是受害最严重的，占活动的32%，其次是消费者自由选择部门，受到23%已知攻击的打击，IT部门占11%。

分散化的威胁格局

在本月的威胁脉搏报告中，NCC感叹快速去中心化的勒索软件格局正使得生成准确威胁情报报告变得越来越困难，这一趋势也被近期其他市场观察者注意到。

这无疑是网络犯罪分子中勒索软件即服务"商业"模式流行的结果。例如，多个威胁行为者可以在同一品牌下进行操作，附属机构可以轻松同时与多个勒索软件即服务操作合作。NCC引用的最近研究识别出共享的加密货币兑现地址，通过共享附属机构将包括Qilin在内的多个勒索软件团伙联系起来。

同时，勒索软件团伙面临的挑战，如来自愤怒竞争对手的运营安全风险或执法压力，正在增加组织重新发明和重塑品牌的速度。

持续的高水平勒索软件活动以及从暗网论坛到泄露网站和社交媒体等各种来源产生的大量噪音，使情况变得更加复杂。

NCC注意到最近的0APT案例，该组织在1月份引起巨大轰动，促使多家安全供应商和服务提供商的内部威胁研究人员匆忙为客户撰写新分析，结果几天后发现该团伙的声明是夸大的垃圾信息。

2026年研究团队面临的另一个挑战是攻击报告、发现和披露的时间和方式之间经常存在差异。例如，1月份Qilin与美国医疗系统Covenant的攻击有关，但该攻击实际上发生在2025年5月。

这些扭曲的时间线通过可能歪曲勒索软件团伙真实运营节奏进一步使分析复杂化，这可能导致数据中出现"人工"活动峰值的情况。这种情况发生在2023年夏季，当时Cl0p大量发布MOVEit受害者信息，严重扭曲了NCC的报告数据。

所有这些因素结合起来，使分析师难以掌握战术、技术和程序，并使好人面临重复或不准确归因的风险。

NCC团队正在努力克服这些限制。这项工作的关键是将多个威胁源聚合器整合到一个中央数据库中，该数据库作为高保真度的单一事实来源，现在经过反复处理、过滤、去重和丰富，试图构建更准确的勒索软件格局图景。

NCC表示，这使其能够更好地区分已确认和报告的清单，以及那些像0APT的奇异声明一样被回收或彻底捏造的清单。

Q&A

Q1：Qilin勒索软件组织是什么？它有什么特点？

A：Qilin是一个活跃约三年半的勒索软件组织，曾用名Agenda，采用勒索软件即服务模式。该组织在2026年1月占所有观察到攻击的17%，持续针对关键和工业部门组织，利用运营中断和敏感数据泄露来增加勒索成功率。

Q2：哪些地区和行业最容易受到Qilin攻击？

A：美国是Qilin记录受害者最多的国家，有333名已知受害者，其次是加拿大、英国、法国和德国。在行业方面，工业部门受害最严重，占32%的攻击活动，其次是消费者自由选择部门占23%，IT部门占11%。

Q3：为什么勒索软件威胁情报分析变得更加困难？

A：主要原因包括勒索软件即服务模式流行导致格局快速去中心化，多个威胁行为者可在同一品牌下操作，攻击报告时间差异大，以及来自暗网论坛、泄露网站等各种来源产生的大量噪音信息，这些都使准确分析和归因变得极其复杂。