-
Cl0p、LockBit、BlackCat 勒索軟體最新攻擊與技術演進
在過去一年中,Cl0p、LockBit 4.0/5.0 與 BlackCat (ALPHV) 持續位居企業勒索事件的主力家族。這些家族一方面結合傳統的 Windows 網域入侵技術,另一方面也快速擴展到雲端服務、VMware ESXi 與 Linux 平台,並強化資料竊取與防禦迴避能力,使得事件處理與溯源更加困難。TechRadar
1. 近期攻擊概況
-
Cl0p:延續 0-day 與資料外洩操作路線
Cl0p 近年最廣為人知的作法包括利用檔案傳輸或企業應用的 零日漏洞(如 MOVEit Transfer、GoAnywhere MFT,以及 2025 年針對 Oracle E-Business Suite 的 0-day)大規模竊取雲端與資料庫內部資料,再透過「資料外洩網站」公開受害清單,逼迫目標付款。TechRadar -
LockBit 4.0 / 5.0:多平台與反偵測能力持續強化
情資顯示,LockBit 4.0 在 2025 年仍是主要活動版本之一,於程式結構與反偵測技術上進一步強化,例如更積極地停用安全服務與事件紀錄,並提高模組化程度以方便客製攻擊腳本。Intel471
2025 年 9 月則出現 LockBit 5.0,支援 Windows、Linux 與 VMware ESXi,並利用 DLL 反射載入、動態解析 API、停用 Windows 事件追蹤等方式,使靜態與動態分析都更為困難。TechRadar -
BlackCat (ALPHV):Rust 撰寫的雙重勒索平台
BlackCat 是以 Rust 撰寫的 RaaS 平台,支援多作業系統與多種檔案系統,並標準化實作「先外洩後加密」的雙重勒索流程。研究顯示,其常搭配現成滲透工具(如 Cobalt Strike、Impacket、PSExec 等)進行橫向移動,再針對檔案伺服器與虛擬化平台執行加密與檔案刪除。American Hospital Association
2. 攻擊手法與技術流程
2.1 進入點與權限提升
三個家族在「初始入侵」與「權限提升」上有相似的模式,常見途徑包含:heimdalsecurity.com+1
-
利用外部服務漏洞
-
公開網路上的檔案傳輸服務、VPN、郵件閘道或企業應用(如 MOVEit、Oracle EBS)一旦曝露 0-day 或未修補漏洞,就成為 Cl0p、LockBit 等家族的大型入口。
-
-
釣魚郵件與惡意文件
-
投遞含有惡意巨集、HTA、LNK 或 OneNote 檔案,誘導使用者啟動初始載入器(loader),再下載真正的勒索程式。
-
-
Windows / AD 權限提升
-
入侵後進一步利用 Windows 與 Active Directory 漏洞(如 PrintNightmare、Zerologon 等)或弱密碼服務帳號,將權限提升到網域管理員層級。
-
2.2 反偵測、持久化與加密階段
在取得系統或網域高權限後,這些家族會採取一系列技術來延長存活時間並提高加密成功率:TechRadar+1
-
反分析與反偵測
-
透過程式壓縮、加殼與程式碼混淆降低樣本被特徵比對偵測的機率。
-
使用動態解析 API、反沙盒檢測、停用 Windows Event Tracing (ETW) 與安全服務(EDR / AV)。
-
-
持久化與橫向移動
-
在排程任務、服務、群組原則或登錄機碼中建立持久化執行點。
-
利用合法管理工具(RDP、PsExec、WMI、Impacket 中的 lateral-movement 模組)在檔案伺服器、備份伺服器與虛擬化節點間擴散。
-
-
資料外洩與加密
-
先對敏感資料(資料庫備份、共享檔案、雲端掛載)進行打包與壓縮,透過 HTTPS、SFTP 或自建的 exfiltration server 外傳。
-
隨後啟動檔案加密,對應不同平台(Windows / Linux / ESXi)使用不同加密邏輯與排除清單,以避免把系統本身加到無法開機。
-
3. 技術演進趨勢
綜合近期情資,可以看到 Cl0p、LockBit、BlackCat 在技術上的幾個共同演進方向:Intel471+1
-
多平台與虛擬化環境支援
-
全面支援 Windows Server、Linux、以及 VMware ESXi,並能辨識虛擬機磁碟與快照檔,優先加密或刪除,以打擊備援能力。
-
-
雲端與 SaaS 攻擊面擴大
-
鎖定檔案同步服務、物件儲存(S3 相容介面)與雲端資料庫,把雲端備份也納入加密或外洩目標,使純「本地備份策略」已不足以防範。
-
-
更強的反防禦與模組化設計
-
LockBit 4.0/5.0 與 BlackCat 都朝向高度模組化與「可組態」方向發展,讓 affiliate 能自由選擇是否啟用資料外洩、網路掃描、服務關閉等功能。
-
-
商業化運營與「勒索即服務」(RaaS)
-
以「加盟制」方式營運,提供控制面板、受害者管理、談判介面、解密工具等完整生態,讓技術門檻較低的犯罪團體也能快速上手。
-
-
目前技術演進趨勢
- 零日載荷(Zero-Day Payload)與多團隊合作: 勒索軟體改採「慢發布、高殺傷力」模型。
- 雲端滲透增加: 利用 Azure Functions、AWS Lambda 進行「雲端橫移」。
- 工具鏈更模組化: 包括自動權限提升、內部網段掃描、自動加密器分段注入。
- 攻擊者開始避開噪音: 改採 SMB 1.0、RPC、WMI 等「舊協定」橫向移動,以降低 SIEM 告警。
1️⃣ 身份安全與權限管理
- 落實 MFA、多因素登入
- 立即封鎖未使用的 AD 帳號與舊憑證
- 採用 Just-In-Time 權限控管(JIT)
2️⃣ 系統與網路層防禦
- 部署 EDR / XDR(CrowdStrike、Sophos、Defender ATP)
- 封鎖 SMB 1.0、限制 RDP LAN 範圍
- 啟用網段微分段(Micro-segmentation)
3️⃣ 資料外洩防護(DLP)
- 監控大流量外傳與異常 HTTPS 連線
- 限制雲端 API 權限
- 加密本地與雲端關鍵資料
4️⃣ 快速修補與弱點治理
- 每週 CVE 修補與漏洞掃描
- 第三方供應鏈套件做 SCA 檢測(如 Snyk / Trivy)
- 強制中央集權 Patch Management(WSUS / Intune / JAMF)
🧠 本文由 DreamJ AI 自動新聞產生系統 撰寫,內容為技術分析用途。
發佈留言