攻击警报:qilin 瞄准 Yellow Cab of Columbus - US
Introduction
#麒麟勒索软件如何入侵美国哥伦布黄包车公司
2025年12月4日,麒麟勒索软件组织声称对俄亥俄州哥伦布黄包车公司(一家城市交通运输公司)的网络攻击负责。根据XC-Classify协议,此次攻击被评为SIGNAL级别,泄露了该公司的敏感数据,包括行程的GPS坐标、银行卡支付信息以及客户信息。该公司每天管理数百名乘客的个人信息。对于一家在交通运输领域拥有10至50名员工的中小型企业而言,此次事件凸显了城市交通基础设施日益脆弱,容易受到专门从事双重勒索的恶意攻击者的攻击。此次攻击发生之际,传统出租车服务正在积累大量的地理位置和财务数据,这使得这些小型企业成为网络犯罪团伙的主要目标。
Analyse détaillée
此次入侵事件凸显了城市交通运输公司面临的特殊风险,与大型网约车平台不同,这些公司很少拥有专门的网络安全团队。泄露的数据可能包括旅行记录(揭示生活方式习惯)、用于非接触式支付的银行账户信息,以及包含地址和电话号码的客户文件。此次数据泄露正值美国交通运输业面临针对关键交通基础设施的攻击激增之际,正如近期发布的《交通运输业威胁分析报告》所显示的那样。此次事件通过 XC-Audit 协议进行区块链认证,确保了证据的不可篡改可追溯性,这与可能被操纵或质疑的传统集中式验证系统截然不同。
麒麟:勒索软件组织的方法、历史和受害者
麒麟(又名 Agenda)是一个网络犯罪团伙,自 2022 年以来一直活跃,采用勒索软件即服务 (RaaS) 模式运作。该团伙的特点是能够招募经验丰富的技术人员,并为他们提供复杂的加密基础设施和专门的泄露网站,从而最大限度地向受害者施压。该组织惯用的作案手法是系统性的双重勒索:加密关键系统,并威胁将窃取的数据发布到可通过暗网访问的公共平台上。
恶意攻击者常用的初始入侵技术包括利用暴露于互联网的服务中的漏洞,特别是配置不当的 VPN 远程访问解决方案和未打补丁的 Microsoft Exchange 服务器。一旦获得访问权限,该组织就会部署网络侦察工具来绘制基础设施图,禁用杀毒软件,并在启动加密过程之前清除备份。他们通过安装后门来确保持久性,即使在表面上的修复之后,他们也能再次入侵。
该组织主要针对美国和欧洲的医疗保健、制造业和交通运输行业,尤其偏爱拥有充足财力但网络安全防御能力有限的中型企业(50-500 名员工)。值得注意的受害者包括被迫暂停急诊服务的美国医院、遭受数周停产的欧洲制造企业,以及如今像哥伦布市的 Yellow Cab 这样的城市交通服务提供商。麒麟勒索软件采用的RaaS(勒索即服务)模式使其能够通过其关联组织同时发起多起攻击,每个关联组织都能分得一部分勒索款,通常为总额的70%至80%。
对以往攻击活动的分析表明,其数据窃取技术日趋复杂,在加密触发前,通过加密通道传输的数据量已达数十GB。→ 为了解麒麟勒索软件的详细运作方式,我们的CTI分析师记录了该组织自成立以来战术、技术和流程(TTP)的演变过程。
哥伦布黄出租车公司:公司简介 - 交通运输(10-50名员工)- 美国
哥伦布黄出租车公司是俄亥俄州首府哥伦布市一家历史悠久的城市交通运输公司,在如今面临网约车平台竞争的市场中运营数十年。该公司雇佣了 10 至 50 名员工,包括司机、调度员和行政人员,并管理着一支配备车载 GPS 系统和电子支付终端的车队。这套不断完善以满足现代客户需求的数字化基础设施,每天都会积累敏感数据:带有地理位置和时间戳的行程记录、用于信用卡支付的银行信息、常客的个人联系信息以及预订历史记录。
该公司位于俄亥俄州首府哥伦布市,该市拥有近 90 万人口,这使得这家目标机构在当地交通运输领域具有重要的战略意义。像 Yellow Cab 这样的传统出租车服务为前往医院、机场和火车站的乘客提供至关重要的交通服务,运送依赖这些常规服务的弱势群体(老年人、病人、旅客)。与拥有专门网络安全团队的大型科技平台不同,这家家族式中小企业很可能依赖外包的 IT 系统或由本地供应商管理的系统,数据安全预算有限。
此次数据泄露的潜在影响远不止于该公司本身。泄露的客户数据可能揭示敏感的出行模式:例如定期前往医疗机构、夜间出行、住宅地址、电话号码和支付信息。对于使用 Yellow Cab 的商务旅客而言,行程记录的泄露可能会危及机密商业信息。该机构规模较小(10-50 名员工),也表明其事件响应能力有限,缺乏内部安全运营中心 (SOC) 团队,且在系统加密普遍存在的情况下,缺乏完善的业务连续性计划。
美国交通运输行业包含数千家类似的小型企业,这些企业通常是家族企业,传承数代,它们构成了中型城市城市交通的支柱。→ 面对针对关键交通基础设施的勒索软件攻击日益增长的威胁,交通运输行业的公司必须紧急加强防御。
技术分析:风险等级
XC-Classify 协议分配的 SIGNAL 分类表明已确认发生数据泄露,但泄露范围仍在进行全面分析。此级别不同于“最低限度”、“部分”或“完全”级别,它表明恶意行为者已在其泄露网站上公开承认对此次攻击负责,并在系统加密之前确认了敏感文件的泄露。对于哥伦布黄包车公司而言,可能泄露的数据包括:包含姓名、地址、电话号码和预订记录的客户数据库;包含数千次带有精确时间戳的地理位置定位行程的GPS日志;以及与信用卡交易相关的财务信息。
麒麟集团在2025年12月4日发现此次攻击时并未公开披露泄露数据的确切数量,但元数据分析表明,此次泄露主要针对运营数据库和调度系统。泄露的文件可能包括内部管理文件(司机合同、供应商发票、电子邮件往来),从而揭示公司的内部组织结构。所获取的信息类型符合针对交通运输行业的经典攻击模式:通过泄露敏感客户数据来施加最大压力,同时破坏关键的业务连续性运营系统。
Questions Fréquentes
When did the attack by qilin on Yellow Cab of Columbus occur?
The attack occurred on December 4, 2025 and was claimed by qilin. The incident can be tracked directly on the dedicated alert page for Yellow Cab of Columbus.
Who is the victim of qilin?
The victim is Yellow Cab of Columbus and operates in the transportation sector. The company is located in United States. You can search for Yellow Cab of Columbus's official website. To learn more about the qilin threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Yellow Cab of Columbus?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Yellow Cab of Columbus has been claimed by qilin but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
关于初始入侵方法,我们对以往麒麟勒索软件攻击活动的分析表明,可能的途径有以下几种:利用IT服务提供商安全性较差的VPN连接、通过定向网络钓鱼入侵管理员账户,或利用调度或支付系统中未修补的漏洞。可能的攻击时间线始于持续数天或数周的静默网络侦察,随后通过加密通道逐步窃取敏感数据,最终部署勒索软件。未能及早发现问题表明监控和事件日志分析能力存在不足。