攻击警报:qilin 瞄准 Busbusbus - FR
Introduction
2025年12月20日,法国长途旅行预订平台Busbusbus遭遇网络攻击。该平台年收入达1500万欧元,拥有50至100名员工。此次攻击由麒麟勒索软件团伙(又名Agenda)策划。根据我们的分析协议,此次攻击被评为XC SIGNAL级别,泄露了包括客户信息、支付数据和地理位置数据在内的关键数据。事件发生之际,正值法国交通运输业的敏感时期——年末假期前夕,长途旅行需求旺盛。
Busbusbus成立于2012年,已成为法国城际交通运输领域的重要参与者,为成千上万的乘客提供旅行预订服务。此次网络犯罪团伙采用“勒索软件即服务”(RaaS)模式攻击该平台,引发了人们对交通运输行业数字基础设施安全问题的严重担忧。对已核实数据的分析揭示了一起尤其令人担忧的泄露事件,泄露的数据包括个人信息、银行数据和旅行记录。此次攻击是专门针对欧洲出行平台的一系列攻击行动的一部分,旨在利用这些平台日常运营对IT系统的高度依赖。
Analyse détaillée
麒麟勒索软件组织是2025年一个异常活跃的恶意行为者,它采用复杂的“勒索软件即服务”(RaaS)模式,从而增强了其攻击能力。该网络犯罪团伙也被称为“Agenda”,专门针对中型企业,利用其安全基础设施中的漏洞进行攻击,因为这些基础设施通常不如大型企业那样强大。麒麟的作案手法依赖于双管齐下的勒索策略:加密受害者的系统,并威胁将窃取的数据发布在其专门的泄露网站上。
该组织近期的活动记录显示,其活动在2024年下半年和2025年初显著加剧。网络安全分析师观察到,麒麟勒索软件优先攻击运营依赖性高的行业,因为服务中断会造成直接的经济损失,并迫使受害者支付赎金。该恶意组织采用的勒索软件模式允许其将技术基础设施出租给关联方,而关联方则保留了大部分收取的赎金。这种去中心化的模式极大地增加了执法部门追踪和清除勒索软件的难度。
麒麟勒索软件采用的技术包括:利用暴露于互联网的系统中未修补的漏洞、使用从暗网获取的被盗凭证,以及部署后门程序以在被入侵的网络中保持长期存在。我们核实的数据表明,该组织在发起最终攻击前,会投入大量资源对目标进行前期侦察,分析其组织结构和财务能力。该集体攻击的受害者遍布多个大洲,尤其集中在西欧和北美,涉及医疗保健、教育、金融以及如今的交通运输等多个行业。
Busbusbus 是一家专注于长途旅行预订的数字平台,是法国城际交通的关键环节。该公司拥有 50 至 100 名员工,年营业额达 1500 万欧元,定位为连接运输运营商和乘客的技术中介。Busbusbus 成立于 2012 年,充分利用了该行业数字化转型的趋势,提供集中式的比价和预订界面,日交易量巨大。
这家目标机构在其运营过程中管理着极其敏感的数据:旅客身份信息、用于支付的银行账户信息、揭示出行习惯的旅行记录以及实时地理位置数据。如此丰富的信息使 Busbusbus 成为恶意攻击者的理想目标,既有直接的经济价值(通过潜在的银行数据转售),也有战略价值(用户行为分析)。此次数据泄露事件发生在公司的关键时期,正值年底旅游预订高峰期。
受影响实体位于法国,因此受制于严格的监管框架,特别是《通用数据保护条例》(GDPR) 以及可能涉及网络和信息系统安全的 NIS2 指令。此类数据泄露的影响远不止于公司本身:运输合作伙伴、集成支付系统以及相关的技术生态系统都可能受到此次攻击的影响。用户信任是数字平台至关重要的无形资产,此次安全事件可能会永久性地损害用户信任。
对 Busbusbus 遭受攻击的相关已验证数据的审查显示,其暴露级别为 XC SIGNAL,表明勒索软件组织已发布证据证实系统遭到入侵。根据我们的 XC-Classify 方法论,此级别表明攻击者已公开泄露事件的实质性证据,通常以数据样本或屏幕截图的形式,作为入侵的证据并以此作为勒索赎金的筹码。
此次泄露的数据对交通预订平台而言至关重要。客户信息可能包括全名(姓名、出生日期)、联系方式(电子邮件地址、电话号码)以及某些国际旅行所需的身份证明文件扫描件。支付数据是第二个主要风险来源,信用卡号、有效期和交易记录的潜在泄露会暴露用户的消费习惯。
地理位置信息为此次泄露事件增添了另一层脆弱性。旅行记录与未来预订信息相结合,可以重建详细的出行概况,从而揭示旅行者的住所、工作地点和行为模式。这些元数据与其他数据源交叉比对后,可能被用于针对特定个人的定向网络钓鱼攻击,甚至构成人身威胁。最初的攻击很可能利用了 Busbusbus 网络基础设施中的漏洞或管理员访问权限被盗用,从而使攻击者能够在网络中横向移动并访问关键数据库。
事件时间线显示,攻击发现于2025年12月20日,正值节假日预订高峰期。这一时间点很可能并非巧合:网络犯罪分子会刻意选择运营活动高峰期进行攻击,因为此时企业面临最大压力,需要迅速恢复服务,且拥有充足的现金储备。数据显示,信息泄露发生在加密和勒索阶段之前数日,这使得攻击者能够积累足够的筹码来索取赎金。泄露数据的风险包括身份盗窃、银行欺诈、定向网络钓鱼,以及可能对旅行记录中包含敏感信息的用户进行个人勒索。
Questions Fréquentes
When did the attack by qilin on Busbusbus occur?
The attack occurred on December 20, 2025 and was claimed by qilin. The incident can be tracked directly on the dedicated alert page for Busbusbus.
Who is the victim of qilin?
The victim is Busbusbus and operates in the transportation sector. The company is located in France. Visit Busbusbus's official website. To learn more about the qilin threat actor and their other attacks, visit their dedicated page.
What is the XC protocol level for the attack on Busbusbus?
The XC protocol level is currently at XC SIGNAL status, meaning the attack on Busbusbus has been claimed by qilin but has not yet been confirmed by our community. Follow the progress of this alert.
Conclusion
针对Busbusbus的攻击凸显了交通运输行业日益增长的脆弱性,使其更容易受到复杂的网络威胁。无论是公路、铁路还是航空运输,出行平台都会积累海量的个人和运营数据,使其成为勒索软件团伙的主要目标。法国和欧洲的交通运输行业面临着特殊的风险:对IT系统在预订管理、物流协调和运营安全方面的严重依赖,以及涵盖移动应用程序、Web界面、支付系统和合作伙伴网络等广泛攻击面。