【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

admin 2025年4月2日00:05:20评论9 views字数 4312阅读14分22秒阅读模式

  通告编号:NS-2025-0018

2025-03-28
TAG:

暗网、勒索组织、数据泄露

版本: 1.0
1

事件概述

近日,绿盟科技CERT监测发现Babuk2黑客组织频繁在其暗网泄露站点发布多家知名单位的敏感数据,涉及多个国家和地区的政府、金融、互联网、医疗、教育等行业,本月截止目前至少已有81个受害者被披露,且显示多家单位数据已售出;其中我国的电商巨头、金融机构及党政机关赫然在列,影响广泛且恶劣。

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

SEE MORE →

2组织背景

黑客组织Babuk2(Babuk Locker 2.0),又被称为Bjorka或SkyWave,从2025年1月开始在其暗网泄露站点发布各家单位的泄露数据进行勒索。

勒索组织Babuk(Babyk)最早被发现于2021年1月开始活动,主要针对欧美大型企业及政府机构,包括运输、政府、医疗、工业设备供应商等行业。其采用勒索软件即服务(RaaS)模式并使用双重勒索(加密文件+数据窃取)策略,偏向选择支付能力强的目标,针对Windows、ESXi及NAS设备进行攻击。

2021年4月底,Babuk由于美国警方压力宣布停止运营并公开部分源代码,但不久又删除这一消息并重新回归;

2021年5月后,Babuk宣布转向纯数据盗窃勒索,并建立数据泄露贩卖平台;

2021年6月,Babuk在Raidforums论坛发布勒索软件生成器,用户可自定义生成针对ESXi、Windows等系统的加密器与解密器;

Babuk内部因华盛顿警察局事件产生分歧,分裂为Ramp和Babuk V2两个组织;

2021年9月,一名自称患癌的17岁核心成员在俄语黑客论坛上泄露了完整的源代码,导致后续涌现多款基于该家族的勒索变种(如Play、RTM Locker等)。

根据公开信息调查显示,Babuk2并非原Babuk勒索组织的延续,而是独立黑客Bjorka冒用原组织名称及攻击模板,且其数据来源被发现多为其他勒索组织已泄露内容(如原Babuk、RansomHub、LockBit、KillSec等),因在数据泄露论坛(BreachForums)和Telegram上贩卖数据库,Babuk2的运营模式引发了广泛争议;其于2025年1月宣布回归并在暗网开设泄露站点发布受害者勒索贴,多家安全研究机构、分析师和媒体对其提出质疑。

3事件分析

国内电商三巨头案例:

3月19日晚,Babuk2在暗网泄露站点发布国内三家电商公司数据泄露贴,且均给出了样例文件,目前宣称已出售相关数据。(以下简称公司为电商一二三)

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

电商一:宣称有145亿条数据,压缩包约892GB,涉及14亿条订单、6.9亿人。数据包含姓名、电话、地址、订单号、商品名称、价格、时间。可能因笔误,其在帖子内容中错误描述为电商二公司的信息。

目前其样例文件的下载链接已失效:

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

电商二:宣称有8.15亿条数据,压缩包约600GB,CSV文件1.8 TB,涉及81亿条订单、6亿人。数据字段包括平台、ID、手机、姓名、地址、购物细节、价格、日期。

经分析样例文件,发现一百条数据中多有重复,且订单时间均为2025年2月27日。

电商三:宣称有1.41亿条数据,压缩包约11.5GB,数据字段包括真实姓名、用户名、密码、邮箱、QQ号、手机号、身份证及其他信息。

经分析样例文件,发现其大部分字段名称与信息内容不匹配,密码字段疑似为哈希值,QQ号字段为空或重复数字,身份证字段为联系方式。

综上情况,Babuk2提供的样例文件数据量小、质量不高,且没有证据证明其真实入侵相关电商公司,疑似为将第三方渠道泄露/数据交易/历史数据伪造成勒索窃取,且电商三与电商一二的数据大小不在一个量级,按其发布时间顺序推测,可能有强行凑够三大电商扩大舆情影响力的意味。

国内某大型金融机构案例:

3月11日,Babuk2在暗网泄露站点发布国内某金融机构数据泄露的帖子,声称成功侵入国内某金融机构的多个业务系统,并窃取了900GB高度敏感数据。附上了部分泄露数据的下载链接(样本数据为两个500M的压缩包)。

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

Babuk2暗网截图

无独有偶,KillSec勒索组织也曾于2024年10月份在其暗网博客上发布针对该金融机构的贴子:

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

通过对比分析二者公开的数据样例和图片,发现文件时间戳和内容信息存在高度重合。

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

样例文件截图

4Babuk2特征分析

冒用Bubuk组织名义进行招募:

2025年2月3日,有人在数据泄露论坛(Breachforums)注册账号并以Babuk组织的名义发布招募贴,但其发布的数据大都被证实为历史泄露数据;

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

经分析,发现其发布的加密聊天工具Tox ID与Babuk2在暗网泄露站点上的一致,可确认应为同一组织:

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

Babuk2联盟计划疑似抄袭

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

Babuk2在其暗网泄露站点推出2025 Babuk Locker 2.0联盟计划寻求广泛的合作,包括渗透测试、勒索运营商、数据贩卖者等;

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析
【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

经分析,Babuk2的联盟计划介绍和规则与LockBit勒索组织发布的高度重合,如自称为最古老的勒索软件(2019-2025)、已经运营3年、涉及FBI言论、漏洞赏金计划等等,疑似直接抄袭内容进行简单改编。此外,Babuk2还曾公然发帖寻求数据库商家进行数据交易(现已删除)。

与其他勒索组织成员纠纷:

近日Babuk2发帖曝光数据泄露论坛(Breachforums)的用户信息,指出与该用户存在数据交易纠纷:

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

经调查发现,该用户为Hellcat勒索组织的核心成员Rey:

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

因Rey在X(原推特)上披露:“所谓Babuk 2实为Bjorka/SkyWave组织,因兜售公开数据未果后才冒用Babuk勒索组织的名义发布数据泄露进行勒索,其宣称攻陷的佛罗里达交通部、白俄罗斯电商能源系统、法国Orange电信等案例,实际为Rey本人的攻击成果(Hellcat勒索组织另一成员Pryx曾发声提供相关证明)。”所以才受到Babuk2公开发帖对其进行报复诋毁。

5事件总结

1、Babuk勒索组织活跃时间为2021年,并在同年经历了源码泄漏与内部分裂,此后未观察到其再进行任何活动;Babuk2黑客组织于今年1月出现,和传统的勒索组织攻击不同,目前其主要在新建的暗网数据泄漏网站上以发布数据的方式进行勒索;

2、Babuk2在短时间内发布了大量单位的数据泄露勒索贴,且受害者名单中大部分单位过去都曾被其他勒索软件团体认领过,可能表明该组织并未真实入侵受害者系统,而是利用各种方式获取的数据来冒充勒索成果以进行二次勒索;

3、从本次Babuk2发布的国内三家电商公司数据情况来看,应为第三方渠道数据与历史数据拼凑,非近期真实入侵窃取;而其发布的国内某金融机构泄露数据,与KillSec勒索组织去年公开的数据内容如出一辙;

4、Babuk2提供的样例文件均为纯格式化数据或历史数据,缺少原始文件和入侵截图等证明,疑似从第三方渠道获取/地下市场交易/历史数据清洗获得,此类数据在暗网/匿名平台中十分普遍;

5、与成熟的勒索组织不同的是,Babuk2的行为较为混乱(发表自相矛盾的言论、经常删帖等),并通过冒充知名勒索组织和发布知名单位数据来利用媒体和公众认知制造影响力;

综上所述,本次事件的运营者Babuk2与之前的Babuk勒索组织并无任何关系,而是利用之前被盗/公开的知名企业和单位数据及冒充Babuk 品牌扩大影响,从而实现收益最大化。近年来,勒索软件即服务(RaaS)模式催生了大量新兴网络犯罪组织,除传统的勒索组织外,一些黑灰产团伙也向此方向发展;通过变相勒索和虚张声势谋取利益,需提高警惕小心甄别。

6安全建议

此次数据泄露事件涉及单位众多,涉及各个行业和多个国家,影响范围广泛。泄露的数据信息很可能被不法分子利用及二次扩散,常见于身份盗用,骚扰和垃圾邮件,社会工程攻击等,可能会给用户带来经济和隐私方面的危害,也可能给相关企业或单位带来经济和声誉损失。

建议相关单位可采取下列措施处理:

1、对泄露事件进行调查,确定泄露的原因、范围和影响,并及时采取措施限制损失。

2、如果用户的个人信息被泄露,相关单位应该尽快通知受影响的用户,并提供必要的帮助和支持。

3、企业或单位应该加强员工的安全意识和培训,提高员工对数据安全的重视程度,避免类似事件再次发生。

4、对于伪造或利用历史公开数据进行勒索和传播的行为,及时进行公告澄清并联系执法机关协助处置。

5、采购或建立专业的数据泄露监控与预警服务/能力,及时获知本单位在暗网等匿名渠道中潜在的数据泄露风险。

最后的宣传彩蛋

安全情报通告服务:

绿盟科技CERT日常监控国内外上百家主流软件厂商、数十家安全论坛与漏洞社区,结合每日应急安全事件和私域运营进行情报生产,并根据情报评级、PoC披露情况、产品使用流行度、实际利用价值、网空资产测绘数据等多个维度进行综合评估,及时推送最新重大安全漏洞情况及安全事件给客户,整合公司的研究、产品、服务等能力,针对突发性威胁制定可落地的安全防护方案,在威胁事件爆发之前协助客户及时发现问题,采取相关防护措施,保护用户信息系统安全,提升企业应对威胁的能力。

凭据泄露监测服务:

近年来,攻击者经常会通过购买或各种手段获取目标用户的登录凭据,进而突破系统入口开展后续攻击,目前主要被用于加密勒索等高威胁场景。为帮助客户能够快速识别自身敏感凭据的泄露风险,绿盟科技特此推出凭据泄露监测服务。此服务以SaaS方式提供,通过7x24小时持续监测数十万数据泄露渠道,结合AI驱动的数据关联分析,当检测到与客户相关的凭据泄露风险后,及时向客户进行预警。

注:对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]咨询交流。

绿盟科技应急响应中心(NSFOCUS CERT)致力于为客户提供及时、专业、高效的情报预警与应急服务,针对高危漏洞与安全事件进行快速响应,提供可落地的解决方案。      

END

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析         
声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。            

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。            

【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析
绿盟科技CERT微信公众号
【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析
【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析
长按识别二维码,关注网络安全威胁信息

原文始发于微信公众号(绿盟科技CERT):【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月2日00:05:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析https://cn-sec.com/archives/3894898.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息