【安全事件】冒名勒索团伙Babuk2发布多家知名单位数据事件分析

事件概述

国内电商三巨头案例：

3月19日晚，Babuk2在暗网泄露站点发布国内三家电商公司数据泄露贴，且均给出了样例文件，目前宣称已出售相关数据。（以下简称公司为电商一二三）

电商一：宣称有145亿条数据，压缩包约892GB，涉及14亿条订单、6.9亿人。数据包含姓名、电话、地址、订单号、商品名称、价格、时间。可能因笔误，其在帖子内容中错误描述为电商二公司的信息。

目前其样例文件的下载链接已失效：

电商二：宣称有8.15亿条数据，压缩包约600GB，CSV文件1.8 TB，涉及81亿条订单、6亿人。数据字段包括平台、ID、手机、姓名、地址、购物细节、价格、日期。

经分析样例文件，发现一百条数据中多有重复，且订单时间均为2025年2月27日。

电商三：宣称有1.41亿条数据，压缩包约11.5GB，数据字段包括真实姓名、用户名、密码、邮箱、QQ号、手机号、身份证及其他信息。

经分析样例文件，发现其大部分字段名称与信息内容不匹配，密码字段疑似为哈希值，QQ号字段为空或重复数字，身份证字段为联系方式。

综上情况，Babuk2提供的样例文件数据量小、质量不高，且没有证据证明其真实入侵相关电商公司，疑似为将第三方渠道泄露/数据交易/历史数据伪造成勒索窃取，且电商三与电商一二的数据大小不在一个量级，按其发布时间顺序推测，可能有强行凑够三大电商扩大舆情影响力的意味。

国内某大型金融机构案例：

3月11日，Babuk2在暗网泄露站点发布国内某金融机构数据泄露的帖子，声称成功侵入国内某金融机构的多个业务系统，并窃取了900GB高度敏感数据。附上了部分泄露数据的下载链接（样本数据为两个500M的压缩包）。

Babuk2暗网截图

无独有偶，KillSec勒索组织也曾于2024年10月份在其暗网博客上发布针对该金融机构的贴子：

通过对比分析二者公开的数据样例和图片，发现文件时间戳和内容信息存在高度重合。

样例文件截图

经分析，发现其发布的加密聊天工具Tox ID与Babuk2在暗网泄露站点上的一致，可确认应为同一组织：

Babuk2联盟计划疑似抄袭：

Babuk2在其暗网泄露站点推出2025 Babuk Locker 2.0联盟计划寻求广泛的合作，包括渗透测试、勒索运营商、数据贩卖者等；

经分析，Babuk2的联盟计划介绍和规则与LockBit勒索组织发布的高度重合，如自称为最古老的勒索软件（2019-2025）、已经运营3年、涉及FBI言论、漏洞赏金计划等等，疑似直接抄袭内容进行简单改编。此外，Babuk2还曾公然发帖寻求数据库商家进行数据交易（现已删除）。

与其他勒索组织成员纠纷：

近日Babuk2发帖曝光数据泄露论坛（Breachforums）的用户信息，指出与该用户存在数据交易纠纷：

经调查发现，该用户为Hellcat勒索组织的核心成员Rey：

因Rey在X（原推特）上披露：“所谓Babuk 2实为Bjorka/SkyWave组织，因兜售公开数据未果后才冒用Babuk勒索组织的名义发布数据泄露进行勒索，其宣称攻陷的佛罗里达交通部、白俄罗斯电商能源系统、法国Orange电信等案例，实际为Rey本人的攻击成果（Hellcat勒索组织另一成员Pryx曾发声提供相关证明）。”所以才受到Babuk2公开发帖对其进行报复诋毁。

1、Babuk勒索组织活跃时间为2021年，并在同年经历了源码泄漏与内部分裂，此后未观察到其再进行任何活动；Babuk2黑客组织于今年1月出现，和传统的勒索组织攻击不同，目前其主要在新建的暗网数据泄漏网站上以发布数据的方式进行勒索；

2、Babuk2在短时间内发布了大量单位的数据泄露勒索贴，且受害者名单中大部分单位过去都曾被其他勒索软件团体认领过，可能表明该组织并未真实入侵受害者系统，而是利用各种方式获取的数据来冒充勒索成果以进行二次勒索；

3、从本次Babuk2发布的国内三家电商公司数据情况来看，应为第三方渠道数据与历史数据拼凑，非近期真实入侵窃取；而其发布的国内某金融机构泄露数据，与KillSec勒索组织去年公开的数据内容如出一辙；

4、Babuk2提供的样例文件均为纯格式化数据或历史数据，缺少原始文件和入侵截图等证明，疑似从第三方渠道获取/地下市场交易/历史数据清洗获得，此类数据在暗网/匿名平台中十分普遍；

5、与成熟的勒索组织不同的是，Babuk2的行为较为混乱（发表自相矛盾的言论、经常删帖等），并通过冒充知名勒索组织和发布知名单位数据来利用媒体和公众认知制造影响力；

综上所述，本次事件的运营者Babuk2与之前的Babuk勒索组织并无任何关系，而是利用之前被盗/公开的知名企业和单位数据及冒充Babuk 品牌扩大影响，从而实现收益最大化。近年来，勒索软件即服务（RaaS）模式催生了大量新兴网络犯罪组织，除传统的勒索组织外，一些黑灰产团伙也向此方向发展；通过变相勒索和虚张声势谋取利益，需提高警惕小心甄别。

此次数据泄露事件涉及单位众多，涉及各个行业和多个国家，影响范围广泛。泄露的数据信息很可能被不法分子利用及二次扩散，常见于身份盗用，骚扰和垃圾邮件，社会工程攻击等，可能会给用户带来经济和隐私方面的危害，也可能给相关企业或单位带来经济和声誉损失。

建议相关单位可采取下列措施处理：

1、对泄露事件进行调查，确定泄露的原因、范围和影响，并及时采取措施限制损失。

2、如果用户的个人信息被泄露，相关单位应该尽快通知受影响的用户，并提供必要的帮助和支持。

3、企业或单位应该加强员工的安全意识和培训，提高员工对数据安全的重视程度，避免类似事件再次发生。

4、对于伪造或利用历史公开数据进行勒索和传播的行为，及时进行公告澄清并联系执法机关协助处置。

5、采购或建立专业的数据泄露监控与预警服务/能力，及时获知本单位在暗网等匿名渠道中潜在的数据泄露风险。

安全情报通告服务：

绿盟科技CERT日常监控国内外上百家主流软件厂商、数十家安全论坛与漏洞社区，结合每日应急安全事件和私域运营进行情报生产，并根据情报评级、PoC披露情况、产品使用流行度、实际利用价值、网空资产测绘数据等多个维度进行综合评估，及时推送最新重大安全漏洞情况及安全事件给客户，整合公司的研究、产品、服务等能力，针对突发性威胁制定可落地的安全防护方案，在威胁事件爆发之前协助客户及时发现问题，采取相关防护措施，保护用户信息系统安全，提升企业应对威胁的能力。

凭据泄露监测服务：

近年来，攻击者经常会通过购买或各种手段获取目标用户的登录凭据，进而突破系统入口开展后续攻击，目前主要被用于加密勒索等高威胁场景。为帮助客户能够快速识别自身敏感凭据的泄露风险，绿盟科技特此推出凭据泄露监测服务。此服务以SaaS方式提供，通过7x24小时持续监测数十万数据泄露渠道，结合AI驱动的数据关联分析，当检测到与客户相关的凭据泄露风险后，及时向客户进行预警。

注：对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]咨询交流。

绿盟科技应急响应中心（NSFOCUS CERT）致力于为客户提供及时、专业、高效的情报预警与应急服务，针对高危漏洞与安全事件进行快速响应，提供可落地的解决方案。