隨著 LockBit、RansomHub、Everest 以及 BlackLock 等老牌勒索軟體集團因執法打擊與內部資料外洩而瓦解,勒索生態系出現權力真空。就在此時, 麒麟勒索軟體勢力正迅速崛起,成為勒索服務平台(Ransomware-as-a-Service, RaaS)領域的關鍵玩家。
麒麟:2025 勒索攻擊舞台上的黑馬
自 2022 年 10 月起,Qilin 逐步透過攻擊醫療、製造、教育與關鍵基礎設施等領域建立聲勢。根據 Cybereason 的研究報告,截至 2025 年中,麒麟 已公開聲稱攻擊了 291 個受害者,據統計中僅次於 Akira(348)與 Cl0p(404),位居第三。不過 麒麟的特別之處不只是攻擊數量,而是其 創新型經營模式。麒麟的攻擊目標遍及全球,以下為過往知名受害者(部分):
*英國病理學暨診斷服務供應商Synnovis
*澳洲醫療集團 Regis Healthcare:患者資料與照護紀錄外洩。
*南韓SK集團
*日本一家知名的癌症治療中心
*帛琉衛生部
*美國報業集團Lee Enterprises
史上首見:勒索軟體集團提供法律支援服務
麒麟是目前首個引入「Call Lawyer(叫律師)」功能的勒索集團,為其加盟者提供法律顧問服務,目的在於於談判過程中加入法律風險的壓力,藉此提升受害者付款意願。
麒麟在暗網論壇上的公告指出:
「只要點擊目標頁面上的『叫律師』按鈕,我們的法律團隊將會與您聯繫,提供合格的法律建議。」
「律師出現在聊天室中,本身就能對公司造成間接壓力,有助於提高贖金金額,因為企業通常不願陷入法律訴訟。」
該功能提供:
- 資料內容的法律評估
- 依不同司法區進行違規事項分類
- 訴訟、名譽風險與潛在損失評估
- 支援律師與企業進行直接談判
- 若公司拒付,提供最大經濟損害建議與預防策略
這些設計顯示,麒麟正將法律壓力納入勒索策略的一環,進一步複雜化受害者的決策空間。
技術成熟,專為加盟者打造的攻擊平台
麒麟使用 Rust 與 C 語言 開發跨平台的加密工具,可攻擊 Windows、Linux 與 ESXi 系統。其加盟制度設計成熟,提供完整操作面板與技術支援,並從贖金中抽成 15% 至 20%。
主要功能包含:
- Safe Mode 模式下執行勒索程式
- 具防偵測能力的進階載入器
- 採用 ChaCha20、AES、RSA-4096 加密演算法
- 四種加密模式(完整、跳段、快速、百分比模式)
- 關鍵服務終止、機器重啟與網路橫向移動能力
- 自動化談判系統與對話管理工具
- 痕跡清理與反取證技術
此外,麒麟明確規定禁止攻擊俄羅斯、白俄羅斯等獨聯體(CIS)國家的系統,與其他東歐勒索集團的「區域默契」一致。
不只勒索,更是「網路犯罪全方位平台」
麒麟不僅提供勒索工具,還將整體服務向 網路犯罪即服務(Cybercrime-as-a-Service) 擴展,包括:
- PB 級資料儲存空間
- 全年無休的 DDoS 與簡訊/電話轟炸服務
- 專屬談判支援與法律協助功能
這些功能反映出 Qilin 不再只是單純的勒索服務供應者,而是將自身打造為「網路犯罪加盟平台」,大幅降低加盟者的技術門檻與風險。
麒麟的戰略定位與資安啟示
隨著許多傳統勒索集團因壓力、背叛或重組而解體,麒麟正逐步填補市場空缺,並重新定義新一代 RaaS 的運作方式。其結合法律諮詢、跨平台攻擊、橫向移動與社交工程談判的手法,展現出極強的整合性與創新性。
資安防禦者必須認知:勒索攻擊早已不限於加密與贖金。 隨著攻擊者持續引進法律、心理與企業級策略工具,企業的防禦思維也應從被動應對,轉向主動式、威脅情資驅動的防禦架構。
