警惕！这个勒索软件组织更懂你：Babuk Locker 2.0幕后可能是中国人!

近期，Babuk Locker 2.0勒索组织的活动呈现出高度的活跃性和广泛的攻击性，其受害者数量众多，涉及行业和国家范围极广。从 2025年1月 27 日至3月14日的短短两个月内，Babuk 勒索组织共公布了约70个受害者案例（ransomware.live统计则有93个受害者）。这些案例涵盖了政府机构、医疗行业、教育机构、企业、金融行业等多个领域。在政府机构方面，越南国防部、印度国防部和军事机密（DRDO）文件、伊拉克财政部、伊拉克内阁等均遭受了攻击，此类案例约有10个。医疗行业也未能幸免，台湾的马偕医院、彰化基督教医院等5 个案例凸显了医疗数据泄露的严重性。教育机构如台湾亚洲大学等2个案例，也面临着学生隐私和学术研究数据泄露的风险。企业方面的受害者数量众多，包括Lexmark公司、Mazars公司、Petstop公司等约20个案例，商业机密的泄露对企业的竞争力和声誉造成了巨大威胁。金融行业的攻击则以中国某银行等3个案例为代表，客户资金安全受到严重威胁。此外，还有酒店、电信、法律等其他行业的约30个案例，显示出Babuk勒索组织攻击目标的多样性和广泛性。

这些受害者分布在多个国家和地区，进一步加剧了其活动的复杂性和影响力。从国家维度来看，越南的国防部和海军网站被攻击；印度的国防部和军事机密、电信网络等有约5案例；中国台湾地区的亚洲大学、马偕医院、彰化基督教医院等约 5 个案例；巴西的国家核能委员会、Mandarin.com.br 等约3个案例；新加坡的滨海湾金沙酒店内部服务器；土耳其的Baykar国防公司；美国的华盛顿特区大都会警察局；印尼的纳税人识别号（NPWP）、国家石油公司等约3个案例；墨西哥的 zapopan.gob.mx等2个案例。此外，德国、法国、英国、肯尼亚、蒙古、巴基斯坦等其他国家和地区也有约20个案例，充分表明Babuk勒索组织的攻击范围已经跨越了地域界限，成为全球性的网络安全威胁。

Babuk勒索组织在攻击过程中展现出了独特的行事风格。在与受害者的沟通中，Babuk 勒索组织强调规则和效率，要求受害者在联系时提供公司名称、国家等信息，并对沟通内容进行严格限制，例如不允许询问样本、要求受害者提供被攻击的证据等。这种做法不仅提高了沟通效率，还有效避免了无关干扰，使他们能够更专注于与真正受害者的谈判。对于不遵守规则或怀疑其攻击真实性的受害者，Babuk 勒索组织采取了强硬的威胁手段，如罚款、公布大量数据等，迫使受害者合作，这种强硬策略增加了受害者支付赎金的压力。此外，Babuk勒索组织利用多种沟通渠道，包括电子邮件、Telegram、Tox等，方便与受害者进行联系，同时在Tox上提供支持 ID，体现了其对安全和隐私的重视，确保在沟通过程中自身和受害者的信息安全。

但分析该勒索组织最新发布的沟通规则、公布受害者信息以及简单的与其沟通时，其语言风格透露出共具有典型的中文母语特性。这似乎表明该组织是在原Babuk（最早该组织疑是俄式风格）组织基础上另行开张了。

证据1：沟通规则的描述上是典型的中式英语

直觉上，这个规则描述很不地道，不像是英语母语的人所撰写。借助DeepSeek分析其英文沟通规则，得出如下结论，可供参考。

证据2：勒索信息的描述表现出中式英语的痕迹

随机遴选两个受害者，复制其描述语言。利用Kimi进行分析研判，结果显示其中具有典型的非英文为母语的特征。

• 语法和用词：两段材料中存在一些语法错误和用词不当的情况，例如“paralyzing their business”“We were able to access the Bayraktar company management panel with admin access”等，这表明撰写者可能并非以英语为母语的人，或者英语水平不够高。

• 表达习惯：材料中有一些中式英语的表达习惯，比如“we still give you the opportunity to negotiate with us and talk about this”“listen carefully don't be egotistical”等，这种表达方式在英语为非母语的国家比较常见。

证据3：Session沟通时对方的回复具有中式英语特征

针对最新的某涉我勒索案例，本号通过Babuk公布的Session与其尝试联系，对方（ID显示为Sky Wave）进行了回复。本号质疑其公布事实的不可信和样本数据似乎为伪造，其共回复三句英文。直觉上是中式英文。

Don't come to waste time 

Get straight to the point, there's something we can help you with, and don't waste your time. 

Should I publish it? These 2 TB? If they don't pay?

DeepSeek以高置信度佐证了本号的直觉。

证据4：在公布的越南国防部的样例数据表头上出现了中文字符

在3月14日公布的越南国防部数据泄露案例中，Babuk发布了三份所谓的证据图片，其中第一张的表头出现了中文字符，意在说明电话号码和身份证号码前面的0已去掉。

证据5：Babuk于3月13日发布的2025年联盟计划语言特征分析

这个最新的计划总共49段约3200字左右的描述，经DeepSeek分析，具有典型的、明确的中式英语风格。

唯一不协调的地方，该组织站上在About us和Our Rules版块，同样的英文介绍，相对地道，没有中式痕迹。估计是其继承了原来或早期Babuk的表述，这两部分是俄式或东欧风格。

结论

据此，本号大概率判定新的Babuk Locker 2.0勒索组织幕后运营团队为母语中文者。再者其主要目标以中国周边国家和地区（印度、越南、巴铁、印尼、乌兹别克、蒙古、台湾等）居多，偶尔还有国内目标，特别是一些涉军目标，这加重了其为中国黑产团伙的可能性。建议重点行业和敏感单位应高度重视，执法机构也应重点监测，适时开展打击行动。

后续如有进一步信息，本号随时跟进报道。

参考资源

1、Babuk暗网站点

2、https://www.ransomlook.io/group/babuk-bjorka

原文始发于微信公众号（网空闲话plus）：警惕！这个勒索软件组织更懂你：Babuk Locker 2.0幕后可能是中国人!