三大勒索軟體組織 LockBit、Qilin 與 DragonForce 近日宣布結盟,形成勒索軟體生態系統中罕見的「卡特爾(Cartel)」聯盟。聯盟宣布於 LockBit 5.0 推出後不久,而成員之一 Qilin 在此期間成功攻擊日本最大啤酒製造商 Asahi,竊取超過 27GB 機密資料並造成六座工廠停產。Qilin 聲稱此次攻擊將導致 Asahi 損失高達 3.35 億美元,凸顯勒索軟體組織聯手後的威脅升級。
聯盟宣言:邀請更多夥伴加入
DragonForce 在自家資料外洩網站上宣布,正與 Qilin 和 LockBit 組成聯盟,以便各組織能夠團結力量並「對齊」發展方向。聯盟也歡迎其他夥伴加入。
資安廠商 ReliaQuest 於 10 月 9 日發布的《2025 年第三季勒索軟體與網路勒索報告》揭露這項聯盟。 分析指出,對三個組織而言,這種合作模式可以促進技術、資源和基礎設施的共享,從而強化各自的作戰能力。研究人員表示:「類似的合作關係過去已證明具有變革性,例如 2020 年 LockBit 曾與 Maze 勒索軟體組織合作。該次合作引入了雙重勒索戰術,結合系統加密與資料竊取來加大對受害者的壓力,並利用 Maze 的資料外洩網站來擴大影響力。」
Asahi 遭攻擊時間線
日本朝日啤酒( Asahi )成為這波聯盟威脅下的直接受害者。Asahi 是日本最大的啤酒製造商,擁有 3 萬名員工,年產量達 1 億百升,年營收 200 億美元。
9 月 29 日,Asahi 因網路攻擊被迫暫停六座日本工廠的營運。10 月 3 日,公司正式確認遭受勒索軟體攻擊,後續調查發現證據顯示資料已遭外洩。當時尚無勒索軟體組織公開宣稱此次攻擊。
然而,10 月 8 日,Qilin 勒索軟體組織將 Asahi 列入自家資料外洩網站的受害者名單,顯然是在與公司談判勒索金失敗後採取的行動。Qilin 聲稱已竊取超過 9,300 個檔案,總計 27GB 的資料。作為竊取證據,駭客公布了 29 張圖片,展示內部財務文件、員工身分資料,以及機密合約和內部報告。
Qilin 宣稱,這次攻擊將導致 Asahi 因六座啤酒廠的生產中斷而損失高達 3.35 億美元,影響 30 個品牌的生產。Asahi 拒絕對威脅行為者的主張和外洩資料樣本的真實性發表評論,僅表示資料外洩正在調查中。
Asahi 向外沒表示,旗艦啤酒產品「Super Dry」的生產已經恢復。雖然工廠尚未完全恢復運作,但預計從 10 月 15 日起將恢復更多產品線。由於網路攻擊及其造成的業務中斷,公司已宣布推遲原定於 2025 年 10 月發布的新產品。
三大組織背景
LockBit 是知名的勒索軟體即服務 (Ransomware-as-a-Service, RaaS) 組織之一,在 2024 年初遭受執法部門重大打擊。英國警方領導的國際執法行動「Cronos」包括基礎設施查扣、制裁、將其資料外洩網站重新利用來揭露 LockBit 領導者身分,以及多次逮捕。在顛峰時期,該組織估計在全球攻擊超過 2,500 名受害者,收取超過 5 億美元的勒索金。
對 LockBit 而言,此次聯盟可能有助於在去年遭受打擊後重建其在網路犯罪地下社會的聲譽。此次聯盟成立於 LockBit 推出 5.0 版本之後不久。LockBit 成立六週年之際,
LockBit 5.0 於 2025 年 9 月 3 日在暗網論壇 RAMP 上首次發布。LockBit 5.0 能夠鎖定 Windows、Linux 和 ESXi 系統。
此外,
LockBit 表示計畫開始針對關鍵基礎設施單位進行攻擊。這是一個令人驚訝的舉動,因為許多威脅行為者會避免攻擊關鍵基礎設施,以免引起執法部門的關注。不過 LockBit 過去曾誇大其攻擊成果,這項意圖是否會實現仍有待觀察。
Qilin 是勒索軟體領域的相對重量級角色,於 2023 年出現。該組織是多平台威脅,曾被連結至 Scattered Spider,最近更被連結至北韓駭客。該組織以利用邊緣網路設備的關鍵漏洞、部署憑證竊取工具,以及持續改進其加密程式而聞名。
Qilin 過去曾攻擊 Nissan、Inotiv、Lee Enterprises、倫敦的主要 NHS 醫院,以及 Yangfeng。
根據 ZeroFox 的《2025 年第三季勒索軟體總結報告》,Qilin 已成為近幾個月來最活躍的勒索軟體組織,僅在 2025 年第三季就宣稱攻擊了 200 多名受害者。報告指出,Qilin 在 2025 年第三季針對北美組織,並從 2024 年第四季開始提升作戰節奏。
DragonForce 是相對較新的組織,以其白標 RaaS 產品而聞名,該產品允許成員使用該組織的基礎設施推送勒索軟體。
勒索軟體生態持續擴張:25 年第三季統計數據
ReliaQuest 的報告顯示,目前正在追蹤總計 81 個資料外洩網站,這與 2024 年初報告的 51 個相比有顯著增長。在 2025 年第三季期間,專業、科學和技術服務部門的受害者數量最多,超過 375 個。製造業、營建業、醫療保健、金融保險、零售、住宿和餐飲服務、教育、藝術娛樂、資訊科技和房地產是其他常受影響的產業。
根據 ZeroFox 的數據,2025 年第三季至少發生了 1,429 起獨立的勒索軟體和數位勒索 (Ransomware and Digital Extortion, R&DE) 事件,低於 2025 年第一季觀察到的 1,961 起事件。Qilin、Akira、INC Ransom、Play 和 SafePay 在 2025 年第二季和第三季約佔全球所有 R&DE 攻擊的 47%。
另一個值得注意的趨勢是,
針對埃及、泰國和哥倫比亞等國家的勒索軟體攻擊激增,顯示威脅行為者正在擴展到歐洲和美國等「傳統熱點」之外,以逃避執法部門的審查。列在資料外洩網站上的絕大多數受害者位於美國、德國、英國、加拿大和義大利。
對防禦者的啟示
對組織而言,主要關注點是這個新聯盟是否會開創新的攻擊手法,如當年的雙重勒索戰術。
GuidePoint Security 首席威脅情資顧問 Justin Timothy 指出,GuidePoint Security 首席威脅情資顧問 Justin Timothy 指出,這個「卡特爾」可能反而會傷害 DragonForce,而非強化其能力。他指出,執法部門對 LockBit 的破壞行動,以及隨後對其營運者 Dmitry Yuryevich Khoroshev 的制裁,已經使得任何美國實體向 LockBit 付款都屬違法。如果 DragonForce 宣稱已吸收 LockBit,那麼向 DragonForce 支付的款項可能被視為部分流向 LockBit,因此同樣違法。這絕對會損害他們的收益,因為美國受害者將無法再支付勒索贖金。
LockBit、Qilin 和 DragonForce 的合作是新進發展,在情況進一步演變之前,資安專業人員應對勒索軟體的最佳實務仍然適用。使用值得信賴的端點安全產品,並及時更新高風險漏洞的修補程式。
ReliaQuest 建議使用基於設備的憑證來阻止攻擊者使用被竊取的虛擬私人網路 (VPN) 憑證,將遠端桌面通訊協定存取限制在必要帳戶和主機,並優先修補 VPN 等常見攻擊向量中面向公眾的漏洞。