Cloak

报告编号: TIR-2026-0701-021 | 分类等级: TLP:AMBER | 发布日期: 2026年7月1日 | 情报来源: 多源交叉验证(OSINT + Halcyon Q2-2025 + Ransom.live + RansomLook + Trend Micro + CrowdStrike + Zscaler + Picus Security)


一、执行摘要

Cloak 是2024年中期崛起的新型勒索软件组织,以其凭证驱动的初始访问策略极高的赎金支付率著称。该组织主要通过 Russian Market 等地下市场购买信息窃取器(Lumma/Aurora/Redline)收集的合法凭证入侵目标网络,而非依赖传统漏洞利用或钓鱼攻击。

截至2026年初,Cloak 已攻击 30个国家、162+个受害者,赎金支付率高达 91%–96%,表明其谈判与施压策略极为有效。2025年,该组织攻击目标已从欧洲中小企业扩展至政府机构和关键基础设施。Cloak 采用双重勒索模式(数据加密 + 数据泄露威胁),使用 AES + RSA 混合加密方案。

关键发现

维度关键指标
组织规模162+ 受害者,30个国家
首要目标欧洲中小企业 → 政府机构/关键基础设施(2025年扩展)
加密方式AES + RSA 混合加密
首要入口凭证购买(Russian Market + 信息窃取器日志)
商业模式双重勒索(加密 + 数据泄露威胁)
赎金支付率91%–96%(极高)
解密可能性不存在(无公开解密工具)
当前状态活跃(Contender Q2-2025)

威胁等级评估

评估维度等级说明
技术能力🟠 高AES+RSA 混合加密、凭证驱动攻击
运营成熟度🔴 极高91-96%支付率表明谈判策略极为有效
攻击规模🟠 高162+受害者,30个国家
目标针对性🔴 极高从中小企业扩展至政府/关键基础设施
数据泄露风险🔴 极高双重勒索模式

二、威胁行为者画像

2.1 组织标识

属性
官方名称Cloak
组织类型独立运营(非 RaaS)
活跃周期2024年中 – 至今
地理归属未确认(俄语地区推断)
攻击目标全球(欧洲为主,后扩展)
动机经济利益

2.2 核心攻击策略

┌──────────────────────────────────────────────────────┐
│           Cloak 凭证驱动攻击模型                       │
├──────────────────────────────────────────────────────┤
│                                                        │
│  传统勒索组织:                                        │
│  漏洞利用 / 钓鱼邮件 → 初始访问                        │
│                                                        │
│  Cloak 模式:                                          │
│  信息窃取器(Lumma/Aurora/Redline)                    │
│         ↓                                              │
│  Russian Market 等地下市场购买合法凭证                 │
│         ↓                                              │
│  直接使用合法凭证登录目标网络                           │
│         ↓                                              │
│  绕过传统终端防护(无恶意文件执行)                     │
│                                                        │
│  优势:                                                │
│  ├── 无恶意文件,端点检测失效                          │
│  ├── 合法凭证,行为类似正常用户                        │
│  ├── 无需漏洞利用,降低攻击复杂度                      │
│  └── 高成功率,高支付率                                │
│                                                        │
└──────────────────────────────────────────────────────┘

三、归因分析

3.1 地理归属

证据类型详情置信度
地下市场Russian Market 等俄语地下市场购买凭证中-高
目标选择早期主要 targeting 欧洲
工具链信息窃取器生态(Lumma/Aurora/Redline)

四、技术能力评估

4.1 加密方案

属性
对称加密AES
非对称加密RSA
加密模式AES + RSA 混合加密
文件扩展名自定义扩展名
勒索信自定义勒索信

五、攻击链分析

5.1 初始访问

技术MITRE ATT&CK详情
凭证购买T1588.001Russian Market 等地下市场购买信息窃取器日志
合法凭证T1078直接使用合法凭证登录(VPN/RDP/邮件)
信息窃取器T1588Lumma/Aurora/Redline 窃取的凭证

5.2 执行与持久化

技术MITRE ATT&CK详情
合法登录T1078无恶意文件执行,直接使用合法凭证
计划任务T1053持久化
注册表启动键T1547.001持久化

5.3 凭证窃取

技术MITRE ATT&CK详情
MimikatzT1003.001LSASS 凭证提取(横向移动)
凭证转储T1003注册表/SAM 转储

5.4 横向移动

技术MITRE ATT&CK详情
RDPT1021.001远程桌面
SMBT1021.002Windows 管理共享
PsExecT1570远程执行

5.5 数据外传

技术MITRE ATT&CK详情
RcloneT1567.002云存储外传
MegaT1567.002Mega 云存储

5.6 防御规避与影响

技术MITRE ATT&CK详情
合法凭证T1078无恶意文件,绕过端点检测
删除卷影副本T1490阻止恢复
数据加密T1486AES + RSA 混合加密
数据泄露威胁T1486双重勒索施压

六、受害者分析

6.1 规模与地理分布

指标
确认受害者162+
覆盖国家30个
首要地区欧洲(早期) → 全球(2025年扩展)

6.2 行业分布

行业优先级说明
政府机构🔴 极高2025年扩展目标
关键基础设施🔴 极高2025年扩展目标
中小企业🟠 高早期主要目标(欧洲)
制造业🟠 高
金融服务🟡 中

七、运营模式分析

7.1 赎金经济

指标
赎金支付率91%–96%(极高)
支付方式加密货币
谈判策略高效施压,高支付率表明谈判团队专业

7.2 高支付率分析

Cloak 的 91-96% 支付率远高于行业平均水平,原因可能包括:

  1. 精准目标选择:选择支付能力强的组织
  2. 高效施压策略:数据泄露威胁 + 谈判技巧
  3. 凭证驱动攻击:深入网络,掌握更多敏感数据
  4. 专业谈判团队:经验丰富的谈判人员

八、IOC 完整列表

8.1 网络指标

类型说明
工具Lumma Stealer信息窃取器
工具Aurora Stealer信息窃取器
工具Redline Stealer信息窃取器
工具Mimikatz凭证窃取
工具Rclone / Mega数据外传
市场Russian Market凭证交易市场

8.2 攻击工具链

Lumma/Aurora/Redline 信息窃取器
    ↓
Russian Market 等地下市场出售合法凭证
    ↓
Cloak 购买凭证
    ↓
直接使用合法凭证登录目标网络(VPN/RDP/邮件)
    ↓
无恶意文件执行,绕过端点检测
    ↓
Mimikatz 凭证转储(横向移动)
    ↓
RDP / SMB / PsExec(横向移动)
    ↓
Rclone / Mega(数据外传)
    ↓
Cloak 载荷(AES + RSA 混合加密 + 数据泄露威胁)

九、检测规则

9.1 Sigma 规则

规则 1:Cloak 异常登录检测

title: Cloak - Anomalous Login from Purchased Credentials
id: cl001-anomalous-login
status: experimental
description: 检测来自信息窃取器泄露凭证的异常登录行为
logsource:
  category: authentication
  product: windows
detection:
  selection:
    EventID: 4624
    LogonType: 10  # RDP
    AuthenticationPackageName: NTLM
  filter:
    IpAddress|startswith:
      - '10.'
      - '172.16.'
      - '192.168.'
  condition: selection and not filter
level: high
tags:
  - attack.initial_access
  - attack.t1078

规则 2:Cloak 卷影副本删除

title: Cloak - Volume Shadow Copy Deletion
id: cl002-vss-deletion
status: experimental
description: 检测 Cloak 删除卷影副本的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    CommandLine|contains|all:
      - 'vssadmin'
      - 'delete'
      - 'shadows'
  condition: selection
level: high
tags:
  - attack.defense_evasion
  - attack.t1490

规则 3:Cloak 数据外传检测

title: Cloak - Data Exfiltration via Rclone
id: cl003-rclone-exfil
status: experimental
description: 检测使用 Rclone 进行数据外传的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    Image|endswith: '\rclone.exe'
    CommandLine|contains:
      - 'copy'
      - 'sync'
  condition: selection
level: high
tags:
  - attack.exfiltration
  - attack.t1567.002

9.2 YARA 规则

rule Cloak_Ransomware {
    meta:
        description = "检测 Cloak 勒索软件载荷"
        author = "Threat Intelligence Team"
        date = "2026-07-01"
        reference = "Cloak credential-driven ransomware"
    strings:
        $s1 = "Cloak" ascii
        $s2 = "vssadmin delete shadows" ascii
        $s3 = "rclone" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        2 of ($s*) and $hex1
}

十、风险评估矩阵

风险维度评分说明
加密强度7/10AES + RSA 混合,标准强度
传播能力7/10凭证驱动,依赖地下市场
规避能力9/10无恶意文件,合法凭证,绕过端点检测
数据泄露威胁9/10双重勒索 + 高支付率
谈判能力10/1091-96% 支付率,行业领先
综合风险🟠 高凭证驱动 + 极高支付率 + 政府/关键基础设施目标

十一、缓解建议

11.1 即时行动

  1. 凭证审计:检查是否存在已知泄露凭证
  2. MFA 强制:所有远程访问启用多因素认证
  3. 异常登录监控:检测来自未知地理位置的登录

11.2 短期加固

  1. 凭证轮换:定期轮换所有凭证
  2. 网络分段:隔离关键资产
  3. 备份验证:离线/不可变备份

11.3 长期策略

  1. 零信任架构:基于身份的持续验证
  2. 信息窃取器监控:监控 Lumma/Aurora/Redline 活动
  3. 地下市场情报:监控 Russian Market 等市场的凭证交易

11.4 解密恢复路径

维度详情
解密器状态无公开解密工具
加密强度AES + RSA,标准强度
建议优先从备份恢复;联系执法部门

十二、核心建议

  1. 凭证驱动威胁:Cloak 证明合法凭证泄露是比漏洞利用更严重的威胁,组织需加强凭证保护
  2. 极高支付率:91-96% 支付率表明 Cloak 谈判策略极为有效,防御者需提前制定勒索应对策略
  3. 端点检测失效:无恶意文件执行使传统端点防护失效,需依赖行为分析和身份检测
  4. 目标升级:从中小企业扩展至政府/关键基础设施,威胁等级上升
  5. 信息窃取器生态:Lumma/Aurora/Redline 等信息窃取器是 Cloak 的上游威胁,需监控其活动

十三、附录

附录 A:信息来源

编号来源日期
[1]Halcyon: Q2-2025 Ransomware Power Rankings2025
[2]Ransom.live: Cloak Group Intelligence持续更新
[3]RansomLook: Cloak Statistics持续更新
[4]Trend Micro: Cloak Analysis2025
[5]CrowdStrike: Cloak Threat Profile2025
[6]Zscaler: Credential-Driven Ransomware2025
[7]Picus Security: Cloak TTPs2025

附录 B:术语表

术语定义
信息窃取器窃取浏览器保存凭证、Cookie 等敏感信息的恶意软件
Russian Market俄语地下市场,交易 stolen credentials
凭证驱动攻击使用合法凭证而非漏洞利用进行初始访问
双重勒索数据加密 + 数据泄露威胁的组合勒索模式

附录 C:追踪计划

维度说明
组织状态活跃(Contender Q2-2025)
目标演化监控从中小企业向大型组织/政府的扩展
支付率关注支付率变化趋势
解密工具关注是否有公开解密工具发布