休斯顿火箭队开始着手调查Babuk勒索软件攻击

据报道，Babuk勒索软件团伙被曝泄露了休斯顿火箭队的团队敏感数据。

事件概述

为此，NBA休斯顿火箭队也正式对外宣称，该组织近期遭到了勒索软件攻击，而发动攻击的网络犯罪分子就是Babuk黑客团伙。

Babuk网络犯罪团伙在其勒索网站上发布的一篇帖子上，曝光了一份据称来自于火箭队网络系统中的数据和文件，不过目前这篇帖子已经被删除了。Babuk网络犯罪团伙声称，他们已经删除了相关的500GB数据，其中包括NBA休斯顿火箭队的第三方合同公司、客户、员工和财务信息。

Babuk网络犯罪团伙在其发布的公告中表示：“曝光这些信息可能会导致法律问题，并引起客户的担忧。”

Emsisoft的安全威胁分析师Brett Callow认为，如果Babuk是发动此次勒索软件攻击的网络犯罪团伙，那么即使NBA休斯顿火箭队的技术人员想办法获取到了解密密钥，恢复数据的难度也会非常大。

Brett Callow说到：“跟Babuk有关的勒索软件攻击事件都比较麻烦，因为攻击者所提供的Linux解密程序是有缺陷的，而且在解密数据的过程中还会导致数据丢失。”

来自Kohrman Jackson & Krantz律师事务所的Mark Rasch是负责处理此次勒索软件攻击事件谈判部分的律师，但他并不直接参与此案。他警告用户称，不要根据Babuk勒索软件犯罪团伙删除了此前发布的帖子，就草率地认为我们正在跟网络犯罪分子谈判，或者是我们已经支付了数据赎金。

Mark Rasch说到：“他们可能是无意中把它放上去的，也可能是无意中把它删除的，或者他们可能是故意同时做这两件事的。”

NBA休斯顿火箭队则表示，Babuk勒索软件目前已经感染了该组织的一些计算机系统上，但并没有影响到其他部门的运作。火箭队内部的信息技术人员正在设法阻止Babuk勒索软件的传播，但目前并没有对外公布此次勒索软件攻击的具体发生时间。

该组织在其发布的一份电子邮件声明中提到：“斯顿火箭队最近在其内部网络的某些系统上发现了可疑活动。因此，我们也立刻对此次事件展开了调查，我们正在积极采集取证数据，并开始采取措施阻止未经授权的活动。业内知名的网络安全专家也参与了并协助我们的调查活动。”

目前，NBA休斯顿火箭队正在跟美国联邦调查局以及NBA合作共同调查这一事件。

攻击活动

休斯顿火箭队并没有透露此次攻击活动可能会泄露的数据细节，而且也没有表明是否在跟攻击者进行谈判。据称，Babuk阻止在其发布的一些涉及到NBA相关活动和场馆运营的文件中，有些数据被贴上了“团队销售”的标签。

在过去一年内发布的一些新闻报道中，我们可以了解到，球队老板Tilman Fertita可能正在考虑出售这只球队，而他曾在2017年以22亿美元的价格收购了这支球队。

休斯顿火箭队表示：“这些调查是复杂的、动态的，需要时间才能妥善进行。在我们的调查完成之前，很难确定事件的范围，但我们将继续保持警惕，解决任何可能影响我们球迷、员工和球员的潜在问题。如果调查证实个人信息被曝光，我们将立刻通知客户、球员或员工。像这样的问题并不少见，这也突出了组织对数据文件的备份和加密的重要性。”

Babuk勒索软件

根据趋势科技的说法，Babuk勒索软件首次被发现于2020年12月，当时研究人员将其标记为Vasa Locker。到了2021年，它又被改名为了Babuk。趋势科技的的研究人员表示，Babuk已经进行了一次版本更新，并增加了针对敲诈勒索而设计的数据提取功能。

趋势科技在今年二月份的一份研究报告中写到：“Babuk勒索软件利用ChaCha8流密码进行加密，将椭圆曲线Diffie Hellman用于密钥生成，这将使得在没有访问私钥的情况下恢复文件的可能性非常小。”

McAfee的分析指出，Babuk攻击者使用了多种方法来获得目标系统的访问权，包括网络钓鱼攻击、利用公开应用程序或使用受弱保护的远程桌面协议访问来获取合法凭据。

Emsisoft的研究人员还发现了Babuk勒索软件中的几个代码缺陷，其中涉及到Linux和ESXi服务器上的数据加密和解密，并且会导致目标用户的数据完全丢失。