據(jù)報道，Babuk勒索軟件團伙被曝泄露了休斯頓火箭隊的團隊敏感數(shù)據(jù)。

[[395134]]

事件概述

為此，NBA休斯頓火箭隊也正式對外宣稱，該組織近期遭到了勒索軟件攻擊，而發(fā)動攻擊的網(wǎng)絡(luò)犯罪分子就是Babuk黑客團伙。

Babuk網(wǎng)絡(luò)犯罪團伙在其勒索網(wǎng)站上發(fā)布的一篇帖子上，曝光了一份據(jù)稱來自于火箭隊網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)和文件，不過目前這篇帖子已經(jīng)被刪除了。Babuk網(wǎng)絡(luò)犯罪團伙聲稱，他們已經(jīng)刪除了相關(guān)的500GB數(shù)據(jù)，其中包括NBA休斯頓火箭隊的第三方合同公司、客戶、員工和財務(wù)信息。

Babuk網(wǎng)絡(luò)犯罪團伙在其發(fā)布的公告中表示：“曝光這些信息可能會導(dǎo)致法律問題，并引起客戶的擔(dān)憂。”

Emsisoft的安全威脅分析師Brett Callow認為，如果Babuk是發(fā)動此次勒索軟件攻擊的網(wǎng)絡(luò)犯罪團伙，那么即使NBA休斯頓火箭隊的技術(shù)人員想辦法獲取到了解密密鑰，恢復(fù)數(shù)據(jù)的難度也會非常大。

Brett Callow說到：“跟Babuk有關(guān)的勒索軟件攻擊事件都比較麻煩，因為攻擊者所提供的Linux解密程序是有缺陷的，而且在解密數(shù)據(jù)的過程中還會導(dǎo)致數(shù)據(jù)丟失。”

來自Kohrman Jackson & Krantz律師事務(wù)所的Mark Rasch是負責(zé)處理此次勒索軟件攻擊事件談判部分的律師，但他并不直接參與此案。他警告用戶稱，不要根據(jù)Babuk勒索軟件犯罪團伙刪除了此前發(fā)布的帖子，就草率地認為我們正在跟網(wǎng)絡(luò)犯罪分子談判，或者是我們已經(jīng)支付了數(shù)據(jù)贖金。

Mark Rasch說到：“他們可能是無意中把它放上去的，也可能是無意中把它刪除的，或者他們可能是故意同時做這兩件事的。”

NBA休斯頓火箭隊則表示，Babuk勒索軟件目前已經(jīng)感染了該組織的一些計算機系統(tǒng)上，但并沒有影響到其他部門的運作?；鸺爟?nèi)部的信息技術(shù)人員正在設(shè)法阻止Babuk勒索軟件的傳播，但目前并沒有對外公布此次勒索軟件攻擊的具體發(fā)生時間。

該組織在其發(fā)布的一份電子郵件聲明中提到：“斯頓火箭隊最近在其內(nèi)部網(wǎng)絡(luò)的某些系統(tǒng)上發(fā)現(xiàn)了可疑活動。因此，我們也立刻對此次事件展開了調(diào)查，我們正在積極采集取證數(shù)據(jù)，并開始采取措施阻止未經(jīng)授權(quán)的活動。業(yè)內(nèi)知名的網(wǎng)絡(luò)安全專家也參與了并協(xié)助我們的調(diào)查活動。”

目前，NBA休斯頓火箭隊正在跟美國聯(lián)邦調(diào)查局以及NBA合作共同調(diào)查這一事件。

攻擊活動

休斯頓火箭隊并沒有透露此次攻擊活動可能會泄露的數(shù)據(jù)細節(jié)，而且也沒有表明是否在跟攻擊者進行談判。據(jù)稱，Babuk阻止在其發(fā)布的一些涉及到NBA相關(guān)活動和場館運營的文件中，有些數(shù)據(jù)被貼上了“團隊銷售”的標簽。

在過去一年內(nèi)發(fā)布的一些新聞報道中，我們可以了解到，球隊老板Tilman Fertita可能正在考慮出售這只球隊，而他曾在2017年以22億美元的價格收購了這支球隊。

休斯頓火箭隊表示：“這些調(diào)查是復(fù)雜的、動態(tài)的，需要時間才能妥善進行。在我們的調(diào)查完成之前，很難確定事件的范圍，但我們將繼續(xù)保持警惕，解決任何可能影響我們球迷、員工和球員的潛在問題。如果調(diào)查證實個人信息被曝光，我們將立刻通知客戶、球員或員工。像這樣的問題并不少見，這也突出了組織對數(shù)據(jù)文件的備份和加密的重要性。”

Babuk勒索軟件

根據(jù)趨勢科技的說法，Babuk勒索軟件首次被發(fā)現(xiàn)于2020年12月，當時研究人員將其標記為Vasa Locker。到了2021年，它又被改名為了Babuk。趨勢科技的的研究人員表示，Babuk已經(jīng)進行了一次版本更新，并增加了針對敲詐勒索而設(shè)計的數(shù)據(jù)提取功能。

[[395135]]

趨勢科技在今年二月份的一份研究報告中寫到：“Babuk勒索軟件利用ChaCha8流密碼進行加密，將橢圓曲線Diffie Hellman用于密鑰生成，這將使得在沒有訪問私鑰的情況下恢復(fù)文件的可能性非常小。”

McAfee的分析指出，Babuk攻擊者使用了多種方法來獲得目標系統(tǒng)的訪問權(quán)，包括網(wǎng)絡(luò)釣魚攻擊、利用公開應(yīng)用程序或使用受弱保護的遠程桌面協(xié)議訪問來獲取合法憑據(jù)。

Emsisoft的研究人員還發(fā)現(xiàn)了Babuk勒索軟件中的幾個代碼缺陷，其中涉及到Linux和ESXi服務(wù)器上的數(shù)據(jù)加密和解密，并且會導(dǎo)致目標用戶的數(shù)據(jù)完全丟失。