據報道，Babuk勒索軟件團伙被曝泄露了休斯頓火箭隊的團隊敏感數據。

[[395134]]

事件概述

為此，NBA休斯頓火箭隊也正式對外宣稱，該組織近期遭到了勒索軟件攻擊，而發動攻擊的網絡犯罪分子就是Babuk黑客團伙。

Babuk網絡犯罪團伙在其勒索網站上發布的一篇帖子上，曝光了一份據稱來自于火箭隊網絡系統中的數據和文件，不過目前這篇帖子已經被刪除了。Babuk網絡犯罪團伙聲稱，他們已經刪除了相關的500GB數據，其中包括NBA休斯頓火箭隊的第三方合同公司、客戶、員工和財務信息。

Babuk網絡犯罪團伙在其發布的公告中表示：“曝光這些信息可能會導致法律問題，并引起客戶的擔憂。”

Emsisoft的安全威脅分析師Brett Callow認為，如果Babuk是發動此次勒索軟件攻擊的網絡犯罪團伙，那么即使NBA休斯頓火箭隊的技術人員想辦法獲取到了解密密鑰，恢復數據的難度也會非常大。

Brett Callow說到：“跟Babuk有關的勒索軟件攻擊事件都比較麻煩，因為攻擊者所提供的Linux解密程序是有缺陷的，而且在解密數據的過程中還會導致數據丟失。”

來自Kohrman Jackson & Krantz律師事務所的Mark Rasch是負責處理此次勒索軟件攻擊事件談判部分的律師，但他并不直接參與此案。他警告用戶稱，不要根據Babuk勒索軟件犯罪團伙刪除了此前發布的帖子，就草率地認為我們正在跟網絡犯罪分子談判，或者是我們已經支付了數據贖金。

Mark Rasch說到：“他們可能是無意中把它放上去的，也可能是無意中把它刪除的，或者他們可能是故意同時做這兩件事的。”

NBA休斯頓火箭隊則表示，Babuk勒索軟件目前已經感染了該組織的一些計算機系統上，但并沒有影響到其他部門的運作。火箭隊內部的信息技術人員正在設法阻止Babuk勒索軟件的傳播，但目前并沒有對外公布此次勒索軟件攻擊的具體發生時間。

該組織在其發布的一份電子郵件聲明中提到：“斯頓火箭隊最近在其內部網絡的某些系統上發現了可疑活動。因此，我們也立刻對此次事件展開了調查，我們正在積極采集取證數據，并開始采取措施阻止未經授權的活動。業內知名的網絡安全專家也參與了并協助我們的調查活動。”

目前，NBA休斯頓火箭隊正在跟美國聯邦調查局以及NBA合作共同調查這一事件。

攻擊活動

休斯頓火箭隊并沒有透露此次攻擊活動可能會泄露的數據細節，而且也沒有表明是否在跟攻擊者進行談判。據稱，Babuk阻止在其發布的一些涉及到NBA相關活動和場館運營的文件中，有些數據被貼上了“團隊銷售”的標簽。

在過去一年內發布的一些新聞報道中，我們可以了解到，球隊老板Tilman Fertita可能正在考慮出售這只球隊，而他曾在2017年以22億美元的價格收購了這支球隊。

休斯頓火箭隊表示：“這些調查是復雜的、動態的，需要時間才能妥善進行。在我們的調查完成之前，很難確定事件的范圍，但我們將繼續保持警惕，解決任何可能影響我們球迷、員工和球員的潛在問題。如果調查證實個人信息被曝光，我們將立刻通知客戶、球員或員工。像這樣的問題并不少見，這也突出了組織對數據文件的備份和加密的重要性。”

Babuk勒索軟件

根據趨勢科技的說法，Babuk勒索軟件首次被發現于2020年12月，當時研究人員將其標記為Vasa Locker。到了2021年，它又被改名為了Babuk。趨勢科技的的研究人員表示，Babuk已經進行了一次版本更新，并增加了針對敲詐勒索而設計的數據提取功能。

[[395135]]

趨勢科技在今年二月份的一份研究報告中寫到：“Babuk勒索軟件利用ChaCha8流密碼進行加密，將橢圓曲線Diffie Hellman用于密鑰生成，這將使得在沒有訪問私鑰的情況下恢復文件的可能性非常小。”

McAfee的分析指出，Babuk攻擊者使用了多種方法來獲得目標系統的訪問權，包括網絡釣魚攻擊、利用公開應用程序或使用受弱保護的遠程桌面協議訪問來獲取合法憑據。

Emsisoft的研究人員還發現了Babuk勒索軟件中的幾個代碼缺陷，其中涉及到Linux和ESXi服務器上的數據加密和解密，并且會導致目標用戶的數據完全丟失。