近日,绿盟科技CERT监测发现Babuk2黑客组织在其暗网上泄露了多个单位的敏感数据,涉及多个国家和地区的政府、金融、互联网、医疗、教育等行业,截至目前已有至少81个单位数据被披露,并显示多个单位数据已售出;其中我国严重的电商、金融机构及政赫然列在列,影响广泛且广泛。
二、组织背景
黑客组织Babuk2(Babuk Locker 2.0),又被称为Bjorka或SkyWave,从2025年1月开始在其暗网泄露站点发布各家单位的泄露数据进行勒索。
勒索组织Babuk(Babyk)初步于2021年1月开始活动,主要针对欧美大型企业及政府机构,包括运输、政府、医疗、工业设备供应商等行业。采用勒索软件即服务(RaaS)模式并采用双重勒索(加密文件+数据泄露)策略,偏向选择支付能力强的目标,针对Windows、ESXi及NAS设备进行其攻击。
2021年4月底,Babuk由于美国警方压力宣布停止运营并公开部分源代码,但很快又删除了该消息并重新恢复;
2021年5月后,Babuk宣布转向纯数据勒索,并建立数据传输平台;
2021年6月,Babuk在Raidforums论坛发布勒索软件生成器,用户可自定义生成针对ESXi、Windows等系统的加密器与解密器;
Babuk内部因华盛顿警察局事件产生关闭,分裂为Ramp和Babuk V2两个组织;
2021年9月,一名自称患有癌症的17岁核心成员在黑客黑客论坛上泄露了完整的源代码,导致后续支持多款基于该家族的勒索变种(如Play、RTM Locker等)。
根据公开信息调查显示,Babuk2并非原Babuk勒索组织的致敬,而是独立黑客Bjorka冒用原组织名称及攻击模板,且数据来源发现多为其他勒索组织已泄露内容(如Babuk、RansomHub、Sodinokibi、KillS)等),因在数据泄露论坛(BreachForums)和 Telegram 上的数据库上,Babuk2 的操作模式引发了其广泛的争议;其于 2025 年 1 月宣布回归并在暗网泄露站点发布受害者勒索贴,多个安全研究机构、分析师和媒体就此提出质疑。
三、事件分析
国内电商三方案示例:
3月19日晚,Babuk2在暗网泄露站点发布国内三家电商公司数据泄露贴,且均给出了样例文件,目前已出售已相关数据。(以下简称公司为电商一二三)
电商一:现有145亿条数据,压缩包约892GB,涉及14亿条订单、6.9亿人。数据包含姓名、电话、地址、订单号、商品名称、价格、时间。可能因笔误,其帖子内容中错误描述为电商二公司的信息。
目前其样例文件的下载链接已失效:
电商二:拥有8.15亿条数据,压缩包约600GB,CSV文件1.8 TB,涉及81亿条订单、6亿人。数据字段包括平台、ID、手机、姓名、地址、购物细节、价格、日期。
通过分析样本文件,发现一百条数据有重复,且订单时间为2025年2月27日。
电商三:提供有1.41亿条数据,压缩包约11.5GB,数据字段包括真实姓名、用户名、密码、邮箱、QQ号、手机号、身份证及其他信息。
通过分析样例文件,发现其大部分字段名称与信息内容不匹配,密码字段疑似为哈希值,QQ号字段为空或重复数字,ID字段为联系方式。
综上情况,Babuk2 提供的样例数据量小、质量不高,且没有证据证明其真实入侵相关电商公司,疑似将第三方渠道泄露/数据交易/历史数据格式造成勒索缺失,且电商三与电商一二的数据大小不在一个量级,按其发布时间顺序推测有强行情凑足三大电商扩大舆情影响力的意义。
某国内大型金融机构案例:
3月11日,Babuk2在暗网泄露站点发布境内某金融机构数据泄露的帖子,成功入侵某金融机构的业务系统,并窃取了900GB高度敏感数据。附上部分泄露数据的下载链接(样本数据为两个500M的压缩包)。
Babuk2暗网截图
无亮点偶,KillSecleso组织也曾于2024年10月份在其暗网博客上发布针对该金融机构的贴子:
通过对比分析公开的数据样本和图片,发现文件时间和内容信息存在高度重合。
样例文件截图
- Babuk2特征分析
冒用Bubuk组织名义进行招募:
2025年2月3日,有人在数据泄露论坛(Breachforums)注册账号并以Babuk组织的名义发布招募贴,但其发布的数据大都被证实为历史泄露数据;
经分析,发现其发布的加密聊天工具Tox ID与Babuk2在暗网泄露站点上一致,可确认应为同一组织:
Babuk2联盟计划疑似抄袭:
Babuk2在其暗网泄露站点于2025年推出Babuk Locker 2.0联盟计划寻求广泛的合作,包括渗透测试、勒索运营商、数据采集者等;
经分析,Babuk2的联盟计划介绍和规则与LockBitleso组织发布的高度重合,如自称为最古老的勒索软件(2019-2025)、已运营3年、涉及FBI漏洞、漏洞赏金计划等,疑似直接抄袭内容进行简单改编。此外,Babuk2还曾公然发帖询问数据库是否进行数据交易(如今)。
与其他勒索组织成员问题:
近日Babuk2发帖曝光数据泄露论坛(Breachforums)的用户信息,指出与该用户存在数据交易瓶颈:
经调查发现,该用户为Hellcat勒索组织的核心成员Rey:
因Rey在X(原推特)上披露:“称Babuk 2实为Bjorka/SkyWave组织,因兜公开数据未果后才冒用Babuk勒索组织的幌子发布数据进行勒索,其阵地攻占佛罗里达交通部、白俄罗斯电商能源系统、法国Orange电信等案例,实际为Rey本人的攻击成果(Hellcat勒索曾另一组织成员Pryx发声提供相关证明)。”所以才受到Babuk2公开发帖进行了武装破坏。
五、事件总结
- Babuk勒索组织活跃时间为2021年,并在同年经历了源码泄漏方式与内部分裂,此后未观察到其再进行任何活动;Babuk2黑客组织于今年1月出现,与传统的勒索攻击不同,目前泄漏其主要在新建的暗数据网站上以发布数据的进行勒索;
- Babuk2在短时间内发布的数据泄露勒索贴,且受害者名单中大多数单位过去都曾被其他勒索软件团体认可,可能表明该组织承受真实的受害者单位系统,而是利用各种方式获取的数据来冒充勒索,从而进行二次勒索;
- 从本次Babuk2发布的国内三家电商公司数据情况来看,应为第三方渠道数据与历史数据拼凑,非近期真实窃取数据;而其发布的国内金融机构泄露数据,与某KillSec勒索组织去年公开的数据内容如泄露;
- Babuk2提供的样例文件初步原始整理数据或历史数据、缺失文件和入侵截图等证明,疑似从第三方渠道获取/地下市场交易/历史数据清洗获得,此类数据在暗网/匿名平台中十分普遍;
- 与成熟的勒索组织不同的是,Babuk2的严重行为混乱(发表自相矛盾的死亡、经常发表恐吓等),并通过冒充勒索组织和发布单位利用数据来媒体和公众认知影响力;
综上所述,本次事件的运营者Babuk2与之前的Babuk勒索组织并无任何关系,而是利用之前被盗/公开的知名企业和Babuk品牌扩大影响,从而实现收益递增日益增长,勒索软件即服务(RaaS)模式通过新兴网络犯罪组织催生大量,除传统的勒索外,一些黑灰团组织伙也向此方向发展;变相勒索和虚张声势谋取利益,需提高警惕别甄。
六、安全建议
数据泄露事件涉及单位人群,涉及各个行业和多个国家,影响范围广泛。泄露的数据信息很可能被不法分子利用及二次扩散,常见于身份盗用、邮件骚扰、社会工程攻击等,可能会给用户带来经济和隐私方面的困扰,也可能给企业或单位带来经济和社会损失。
建议有关单位可采取以下措施处理:
1、对泄露事件进行调查,确定泄露的原因、范围和影响,并及时采取措施限制损失。
2、若用户的个人信息被泄露,相关单位应及时通知出行的用户,并提供必要的帮助和支持。
3、企业或单位应加强员工的安全意识和培训,提高对数据安全的重视程度,避免员工类似事件再次发生。
4、对于伪造或利用历史公开数据进行勒索和传播的行为,及时进行公开公告并联系执法机关协助赔偿。
5、采购或建立专业的数据泄露监控与预警服务/能力,及时修复本单位在暗网等渠道中潜在的数据泄露风险。
最后的宣传彩蛋:请多多支持~
安全情报通告服务:
绿盟科技CERT日常监控每日上百家主流软件厂商、诚信家安全论坛与漏洞社区,结合每日事故事件和私域运营进行情报生产,并根据情报评级、PoC披露情况、产品使用流行度、实际使用价值、网空资产测绘数据等进行综合,及时评估主播动发起最新重大安全漏洞情况及安全事件给客户,整合公司的研究、产品、服务等能力,针对突发性威胁制定可落地的安全防护方案,在威胁事件爆发前帮助客户及时发现问题,采取相关防护措施,保护信息用户系统安全,提升企业发现威胁的能力。
秘密服务:
近来,攻击者会通过或手段获取目标用户的登录凭据,率先突破系统入口开展后续攻击,目前主要针对加密勒索等高威胁场景。为帮助客户快速识别自身敏感的泄露风险,绿盟科技特此推出各种泄露监测服务。此服务以SaaS方式,通过7×24小时持续监测记录数据万泄露渠道,结合AI驱动的数据关联分析,当检测到与客户相关的泄露风险后,及时购买向客户进行预警。
注:对上述服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至cert@nsfocus.com咨询交流。
绿盟科技应急响应中心(NSFOCUS CERT)致力于为客户提供高效、专业、的情报预警与安全服务,针对高危漏洞与事件事件进行快速响应,提供可落地的解决方案。
声明
本安全公告仅针对可能存在的安全问题,绿盟科技不提供因此的任何安全保证或承诺。因传播、本安全公告所提供的信息而造成的任何直接利用或公告相关的后果及损失,均由用户本人负责,绿盟科技以及安全公告作者不承担因此的任何责任。
绿盟科技拥有此安全的和解释权。如欲转载或传播此安全,公告保证此安全公告的版权,包括版权公告等全部内容。默认绿盟科技允许修改公告,不得任何或减少此方式的安全内容,不得以任何方式将其用于其商业目的。