文章总结： 麒麟勒索软件攻击朝日集团，导致生产停摆并泄露27GB数据。该攻击通过RaaS模式进行，利用了IT与OT网络边界模糊的漏洞，实施了双重勒索。文章建议企业需严格隔离网段、落实零信任架构并加强演练，以提升安全韧性。 综合评分： 88 文章分类： 安全大事件,恶意软件,应急响应,威胁情报,安全建设

麒麟(Qilin)勒索软件攻陷日本朝日集团，数万份内部文件与员工护照遭泄露

原创

solarsec solarsec

solar应急响应团队

2025年10月10日 10:30 山东

导读：

近日，导致日本啤酒巨头朝日集团（Asahi）生产瘫痪、运营中断的幕后黑手终于浮出水面——麒麟（Qilin）勒索软件组织在其暗网网站上公开宣称对此事负责。该组织不仅展示了窃取的部分证据截图，更声称已窃取超过27GB、共9,323份内部文件，包含员工个人信息及护照影像。这起事件从最初的业务中断，已升级为严重的数据泄露危机，再次为全球制造业敲响了IT与OT（运营技术）系统性风险的警钟。

十月初的东京，“朝日啤酒荒”从餐厅酒吧蔓延至各大连锁便利店。这场由网络攻击引发的供应危机，随着攻击者——麒麟（Qilin）勒索软件组织——在暗网的炫耀，其背后更深层次的破坏被公之于众。这已不单是一次让产线停摆的IT事故，更是一场精心策划的数据劫持与勒索。

图片来源于：麒麟(Qilin)勒索软件官网

一、 从入侵到瘫痪：一次精准的双线打击

结合朝日官方声明与麒麟组织披露的信息，我们可以清晰地还原出此次攻击的完整时间线：

• 9月29日： 朝日集团发现内部系统异常，为控制事态，紧急关闭了包括订单、出货、客服在内的核心业务系统，并对网络进行隔离。日本多家工厂的生产线随之陷入停滞。
• 10月3日： 朝日官方更新声明，首次公开证实遭遇勒索软件攻击，并承认有数据被未经授权访问和窃取的可能性。
• 10月7日： 麒麟（Qilin）勒索软件组织在其暗网泄露网站上，正式承认了此次攻击。他们不仅上传了29张包含员工个人信息、护照、内部文件的截图作为证据，还详细列出了战果：共窃取了9,323份文件，总计27GB。

这次攻击的狠辣之处在于，它并非单一维度的破坏，而是一次对企业IT与OT系统的双线打击。一方面，通过加密核心IT系统，直接瘫痪了依赖ERP、MES等系统调度的自动化生产线（OT）；另一方面，通过窃取海量敏感数据，为后续的二次勒索埋下伏笔。即便朝日能够从备份中恢复生产，也依然面临着财务报表、合同、员工个资被公开的巨大威胁。

朝日集团被泄露损益表

朝日集团被泄露利润与亏损表

二、 揭秘麒麟（Qilin）：一个流水线作业的勒索平台

麒麟并非一个传统的黑客团伙，而是一个典型的“勒索即服务”（RaaS,Ransomware-as-a-Service）平台。这意味着它已经将勒索攻击生意化和平台化。

• 商业模式： 麒麟组织负责开发和维护勒索软件工具包，然后将其出租给下游的加盟攻击者。这些加盟者负责寻找目标、实施入侵，在成功获取赎金后，再与麒麟平台进行分成（通常为15%-20%）。这种模式极大地降低了勒索攻击的技术门槛，使其得以快速蔓延。
• 技术特点： 麒麟的恶意程序通常由Rust和C++语言编写，具备跨平台攻击能力，可同时针对Windows、Linux和VMware ESXi系统，这使其能够覆盖企业绝大多数的IT资产。
• 攻击目标画像： 根据Comparitech的统计，麒麟是2025年以来全球最活跃的勒索组织之一，已确认的攻击超过百起。它对亚太地区，特别是日本的制造业和关键基础设施表现出浓厚兴趣。在攻击朝日之前，日本的新光塑胶、日产创意设计中心、尾崎医疗等企业已先后成为其战利品。

Qilin勒索软件暗网博客页面

三、 IT/OT边界模糊的系统性风险

为什么一次IT系统的入侵，能如此迅速地让物理世界的工厂停摆？朝日事件再次暴露了现代制造业一个普遍存在的结构性风险：IT与OT网络的边界日益模糊。

网络安全公司Sophos的威胁情报总监Rafe Pilling对此一针见血地指出：“许多制造商在导入自动化与监控系统后，企业办公网络与生产网络之间的防线被大大削弱。攻击者只要能渗透办公网段，就能进一步控制生产端。”

这意味着，攻击者甚至不需要去破解复杂的工业控制协议，他们只需要通过一封钓鱼邮件攻陷某位财务人员的电脑，就有可能在网络中横向移动，最终找到并切断指挥生产线的IT核心。

四、 安全韧性即是运营韧性

当啤酒断货成为网络攻击最直观的后果时，所有企业都应从中汲取教训。日本政府近年虽在推动主动网络防御，但真正的防线永远在企业自身。

1.网段隔离是根本： 严格划分并隔离办公网络（IT）和生产网络（OT），是防止火烧连营的首要且最有效的策略。

2.“零信任”必须落地： 假定网络内外的任何访问都不可信，对每一次访问请求都进行严格的身份验证和权限控制，是遏制攻击者横向移动的关键。

3.监控与演练缺一不可： 部署持续的威胁监控能力，并定期进行贴近实战的应急响应演练，才能确保在真实攻击发生时，企业不会手足无措。

朝日事件已不再是一则遥远的国际新闻，它是对每一个正在进行或已经完成数字化转型的制造企业发出的最后通牒：未来的停产，可能不是因为疫情或供应链断裂，而仅仅是因为一个未曾打上的补丁，或是一次被忽略的异常登录。

消息来源

• https://www.bleepingcomputer.com/news/security/japanese-beer-giant-asahi-confirms-ransomware-attack/
• https://english.kyodonews.net/articles/-/62113?pn=1
• https://blog.billows.com.tw/?p=3943

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 | | 2025/01/15 | medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024-03-13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024-04-01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024-04-26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024-05-17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024-11-28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

索勒安全团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

索勒安全团队

【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 索勒安全团队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec solarsec《麒麟(Qilin)勒索软件攻陷日本朝日集团，数万份内部文件与员工护照遭泄露》