勒索软件工具矩阵项目更新：2025 年 5 月

介绍

本博客是对勒索软件工具矩阵 (RTM)和勒索软件漏洞矩阵 (RVM)最新内容的总结和分析。信息安全社区对这些项目的反馈非常积极，许多研究人员联系我，告诉我他们觉得这些项目非常有帮助。听到我在业余时间做的一些事情能够帮助阻止勒索软件攻击和网络犯罪分子利用我们社会的系统，我感到很高兴。正因如此，只要勒索软件还存在，我就会继续维护这些项目。对于任何刚接触这些项目的人，请阅读 GitHub 上的描述，或观看我在BSides London上讲解该项目的演讲。

截至 2025 年 5 月的当前勒索软件生态系统背景

继针对 LockBit 的“克罗诺斯行动”以及 ALPHV/BlackCat 的“退出骗局”之后，勒索软件生态系统比以往更加不稳定。 “退出骗局”和执法部门的渗透行动为参与勒索软件经济的网络犯罪分子创造了一个零信任环境。会员们对某个 RaaS 平台的信任似乎已经一去不复返了，许多会员都在尝试不同的 RaaS 平台。

RTM 的威胁情报来源

RTM 已根据各私人服务提供商或供应商的网络安全研究人员分享的 OSINT 报告进行更新。需要注意的是，由于事件响应团队完成调查、汇总调查结果并发布报告需要时间，因此这些工具的使用方法可能会略有过时。

报告显示，Qilin、BlackSuit、RansomEXX、Medusa、BianLian、Hunters International 和 PLAY 等威胁组织已经活跃了一年多甚至数年。这些都是老牌组织。由于 RansomHub 和 LockBit 已经关闭，这些组织很可能已经转移到其他 RaaS 平台，例如 Qilin 等。

还有一些勒索软件操作被怀疑与中国网络间谍组织有关，例如 RA World（使用 PlugX）、NailaoLocker（使用 ShadowPad 和 PlugX）和 CrazyHunter（专注于台湾）。

IMN Crew、QWCrypt（与 RedCurl 有关）、NightSpire、SuperBlack 和 Helldown 等威胁组织都是新兴的威胁组织，它们最近都开始了勒索软件活动。

这些因素导致勒索软件攻击活动在各个领域都广泛使用各种工具。然而，对 GitHub 等免费软件网站的工具的依赖仍然是所有这些勒索软件攻击活动的共同主题。

2025 年 5 月 RTM 重大更新所用来源列表：

组织名称	报告发布日期	URL
Qilin	25 April 2025 10 March 2025	redpiranha.net picussecurity.com
IMN Crew	24 April 2025	s-rminform.com
CrazyHunter	16 April 2025	trendmicro.com
RansomEXX	8 April 2025	microsoft.com
BlackSuit	31 March 2025	thedfirreport.com
QWCrypt	26 March 2025	bitdefender.com
RansomHub	26 March 2025 20 March 2025	welivesecurity.com security.com
Medusa	26 March 2025 6 March 2025	welivesecurity.com security.com
BianLian	26 March 2025	welivesecurity.com
PLAY	26 March 2025	welivesecurity.com
NightSpire	25 March 2025	s-rminform.com
Hunters International	19 March 2025	esentire.com
SuperBlack	13 March 2025	forescout.com
LockBit	24 February 2025	thedfirreport.com
NailaoLocker	20 February 2025 18 February 2025	orangecyberdefense.com trendmicro.com
RA World	13 February 2025 22 July 2024	security.com unit42.paloaltonetworks.com
Helldown	7 November 2024	truesec.com

多个团体使用的工具

EDRSandBlast 和 WKTools 是相对较新的工具，多个团体正在使用它们来停用和克服许多受害者在其网络上安装的 EDR 工具，以防止勒索软件攻击。

典型的勒索软件工具，例如 PsExec、Mimikatz 和 Rclone 仍然有效，并且在可预见的未来仍被多个勒索软件团伙使用。

工具	类型	使用组织
WinSCP	Exfiltration	NightSpire Hunters International
Mimikatz	Credential Theft	RansomHub Qilin Helldown
Impacket	Offensive Security Tool	RansomHub RA World NailaoLocker
Rclone	Exfiltration	RansomHub Hunters International Medusa
NetScan	Discovery	RansomHub Medusa
WKTools	Discovery	RansomHub BianLian PLAY
Advanced IP Scanner	Discovery	Hunters International BianLian
Advanced Port Scanner	Discovery	Hunters International Helldown
AnyDesk	RMM Tool	Medusa BianLian
EDRSandBlast	Defense Evasion	Medusa Qilin

RTM 中添加的新工具

RTM 中添加的最值得注意的新工具包括用于停用 EDR 的几种防御规避工具、敏感文件的发现以及用于隐藏对手网络连接的隧道工具。

工具	类型	组织使用情况
Bublup	Exfiltration	BlackSuit
WKTools	Discovery	BianLian, PLAY
AmmyyAdmin	RMM Tool	BianLian
CQHashDump	Credential Theft	NailaoLocker
Throttle Stop Driver	Defense Evasion	Medusa
KillAV	Defense Evasion	Medusa
BadRentdrv2	Defense Evasion	RansomHub
Toshiba Power Driver (BYOVD)	Defense Evasion	Qilin
ZammoCide	Defense Evasion	CrazyHunter
FRP	Networking	Medusa
Stowaway	Networking	RansomHub
Navicat	Discovery	Medusa
Everything.exe	Discovery	NighSpire
RoboCopy	Discovery	Medusa
NPS	Networking	RA World
SharpGPOAbuse	Offensive Security Tool	CrazyHunter
Attrib	LOLBAS	BlackSuit
Curl	LOLBAS	QWCrypt (RedCurl)
PCA Utility (pcalua)	LOLBAS	QWCrypt (RedCurl)

勒索软件团伙使用的漏洞已添加到 RVM

正如现在常见的情况一样，多个勒索软件组织已经将 Fortinet 网络设备作为目标，以便初步访问受害者环境。
多个勒索软件组织继续利用 Windows 通用日志文件系统 (CLFS) 进行本地权限提升，以运行黑客工具并窃取凭据。
其他漏洞涉及针对边缘设备（例如 Check Point VPN 或 PAN 防火墙）或暴露的服务器（例如 Atlassian Confluence 数据中心服务器）。
勒索软件团伙针对 Veeam 备份软件发起攻击并不令人意外，因为阻止备份或窃取敏感文件（例如 Active Directory 备份）是勒索软件团伙完成其任务的主要目标。

勒索软件	利用的CVE漏洞
NightSpire	CVE-2024-55591 (FortiOS)
RansomHub	CVE-2022-24521 (Windows CLFS)CVE-2023-27532 (Veeam)
LockBit	CVE-2023-22527 (Confluence)
Hunters International	CVE-2024-55591 (FortiProxy)
SuperBlack	CVE-2024-55591 (FortiProxy)
RA World	CVE-2024-0012 (PAN-OS)
NailaoLocker	CVE-2024-24919 (Check Point VPN)
RansomEXX	CVE-2025-29824 (Windows CLFS)