美国网络安全暨威胁侦测业者ReliaQuest在本周发布的2025年第三季度勒索软件报告中指出，三大勒索软件集团LockBit、DragonForce与Qilin已展开结盟，将分享彼此的战术及资源，同时，在今年9月复出的LockBit也决定允许成员攻击关键基础设施，包括核电站及水力发电站等。

LockBit为勒索软件集团结盟的始祖，在2020年与Maze建立合作关系，由LockBit分享自动化加密模块，Maze则提供攻击脚本及渗透工具、渗透测试者及联盟网络，以及营销及恐吓模板。同时，Maze也是全球首批创立数据泄露网站的勒索软件之一，用来公布未付款的受害公司资料。LockBit与Maze还共同开创了如今已成为标准的双重勒索战术，不仅加密文件，还窃取机密数据，一旦受害者拒付，便通过泄露网站公开，提高了赎金支付概率。

然而，LockBit在2024年遭到国际警方的联合查缉，关闭其位于世界各国的34台服务器，接管其技术设施与泄露网站，并冻结了逾200个与该组织有关的加密货币账户。美国司法部更起诉了LockBit开发者之一Dmitry Khoroshev，公布Khoroshev的照片并悬赏1000万美元，促使LockBit的活动停摆。

今年9月，LockBit以LockBit 5.0重出江湖，除了对外招募同伙之外，亦明确将核电站及水力发电站等关键基础设施列为可攻击目标。过去多数的勒索软件即服务（RaaS）集团会刻意避开关键基础设施，以避免引来国际执法机构的关注，LockBit的最新声明则被视为是一种报复。

根据The Register的报道，在新的合作中，先抛出橄榄枝的是擅长跨平台渗透及数据泄露操作的DragonForce，认为从竞争转为合作将可增加彼此的收入并控制市场状况。无论是DragonForce、LockBit，或是后来加入的RaaS服务Qilin，均为俄语使用者。

ReliaQuest分析，这3个勒索软件集团的合作意味着它们将可交换攻击脚本、零日 exploits 与初始渗透渠道，还可共用服务器与数据泄露网站以降低基础设施成本，并扩大其攻击目标，透露出全球勒索软件攻击可能更频繁、更组织化，也将拥有更强的技术能力。

值得注意的是，该联盟仍在对外招兵买马，号召其他勒索软件集团加入，但迄今尚未发现上述三大集团的联合攻击行动或数据泄露网站。