
前言
最近,竣盟科技發現了一個新的最新的數據洩露網站(Data Leak Site, DLS)「RALord」,這是 2025 年 3 月內發現的 14 個新 DLS 之一。該勒索軟體即服務(Ransomware-as-a-Service, RaaS)團隊展現出高度組織化的運營模式,提供聯盟計畫、數據贖金機制及暗網廣告等多種服務。據了解,該團隊至少活躍於一個網路犯罪論壇,主要負責人使用者名為「ForLord」。
截至 2025 年 3 月底,尚無證據顯示 RALord 與其他已知威脅行為者有直接關聯。然而,該團隊聲稱其勒索軟體並非全新產品,而是建立在過往 RaaS 經驗的基礎上,因此不排除其與名稱相近的「RAWorld」(亦稱「RAGroup」)有潛在聯繫。目前,RAWorld 的 DLS 已失效,且自 2024 年 12 月後未再公佈新受害者。此外,RALord 也可能僅是借用 RAWorld 的名稱,以利用其既有聲譽來建立可信度。
值得注意的是,RALord 的已知受害者清單中,首度出現來自台灣的企業,該企業為知名連鎖餐飲品牌,成為台灣首例公開曝光的受害者。這表明 RALord 正積極拓展其攻擊範圍,並將亞洲市場納入目標。
關鍵要點
- RALord DLS 於 2025 年 3 月下旬首次出現,首名受害者(工程與工業服務公司)於 3 月 22 日被列出。截至 3 月 28 日,該網站已公開三名受害者。
- 該團隊運營 RaaS 計畫,聯盟成員可獲取 85% 的勒索贖金分成,而 RALord 則抽取 15%。
- RALord 提供多種服務,包括 數據販售、Tor 網站廣告、一次性加密工具銷售(無需訂閱 RaaS 計畫)。
- RALord DLS 上的所有受害者均未曾出現在其他已知勒索軟體組織的洩露名單中。
- RALord 可能與 RAWorld 或其他已建立的勒索軟體團隊有關聯,但目前無確鑿證據證明。
背景分析
勒索軟體團隊通常利用 DLS 來增加對受害者的壓力,典型模式包含:
- 初步威脅:在 DLS 上公開受害者名稱,聲稱已成功入侵。
- 證據展示:若受害者未支付贖金,攻擊者可能上傳內部檔案結構截圖、個資樣本或其他敏感文件,以證明持有機密數據。
- 倒數計時:設置期限,威脅若受害者不付款,將公開或出售全部數據。
RALord DLS 詳細分析
RALord DLS 於 2025 年 3 月下旬上線,支援俄文與英文,網站包含多個核心區塊:
- 主頁:列出受害者清單。
- 受害者專頁:顯示企業名稱、業務類別、被盜數據類型,部分受害者頁面還附有數據樣本。
- 倒數計時器:顯示資料公開或出售的時間點。
- 聯絡方式:提供 Tox 和 Session ID 以利匿名聯繫。
- RaaS 服務:詳細介紹聯盟計畫、數據仲介與廣告機制。
- 支付指南:支援 BTC、XMR、LTC 等加密貨幣交易,甚至接受部分銀行轉帳,並提供仲介機制(Escrow)降低交易風險。
RaaS 計畫與加密服務
RALord 聲稱其開發的勒索軟體具備「反偵測」能力,攻擊者可單次支付 €200 獲取使用權,若成功勒索贖金,RALord 會抽取 10% 分成。此外,將受害者資訊發佈至 RALord DLS 需額外支付 €20。
該團隊亦提供 RaaS 計畫,利潤分成為 85:15,聯盟成員負責滲透,而 RALord 則負責執行加密攻擊。與 Anubis(80:20)或 RansomHub(90:10)相比,RALord 提供較高的分成比例,吸引更多聯盟成員參與。
此外,RALord 積極尋求 初始存取經紀人(IABs) 合作,降低技術門檻並提高攻擊效率。
受害者分析
截至 2025 年 3 月底,RALord 已公開以下受害者:
- 法國:École Centrale de Nantes(工程學校)
- 阿根廷:Tomio Ingeniería S.A.(工程與工業服務公司)
- 巴西:IHARA(農業化學產品製造商)
- 台灣:台式知名連鎖餐飲品牌(首例台灣受害者)
受害者主要分布於南美洲、歐洲與亞洲,顯示 RALord 正在快速拓展其攻擊目標。
額外情報
消息來源顯示,法國資源中心 Sémaphore Mulhouse Sud Alsace 可能亦為受害者,但尚未出現在 RALord DLS,推測該機構仍在與攻擊者談判。
威脅評估
截至 2025 年 3 月底,RALord 已曝光多名受害者,但尚無受害者公開證實攻擊事件。然而,其提供的數據樣本與詳盡資訊,使攻擊活動的真實性較高。
該組織可能與 RAWorld 或其他勒索軟體團隊存在關聯,但目前無明確證據證實。考量其在短短 7 天內曝光 3 名受害者的節奏,RALord 似乎仍在積極運作,未來可能持續擴展影響範圍。
資安專家建議
- 企業應加強勒索軟體防禦機制,包括端點防護、定期備份及網路安全監控。
- 提高勒索軟體意識培訓,強化內部員工對網路釣魚與社交工程攻擊的認識。
- 持續監測暗網活動,掌握新興 RaaS 威脅,以便提前部署防禦策略。
RALord 的出現,進一步印證了勒索軟體威脅的持續進化,且其攻擊範圍已擴展至亞洲市場。企業與機構應密切關注,並採取主動防禦措施,以降低潛在風險。
RAlord的部分入侵指標(Indicator of compromise IOCs):
be15f62d14d1cbe2aecce8396f4c6289