《数据泄露态势月度报告》(2024年5月)

数据泄露

2月前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年４月。

第一章　数据泄露市场

2024年4月共监控到全球DWM（Dark Web Market）情报：

● 深网和暗网有效情报1,071,712份；
● 泄露数据的高价值买卖情报2,860份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据609份，其他数据泄露较多的国家还包括：中国、印度、俄罗斯、英国、德国、法国、加拿大等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

2、行业分类

4月份行业属性数据占泄露数据总量约82%左右，泄露的行业数据主要包括金融行业、信息和互联网行业、批发零售业、党政军与社会、文体娱乐业等。18%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄源公民个人信息数据、批量的企业工商数据等。

详情如下图所示：

3、泄露数量

4月份泄露的数据中包含数份数十亿的二要素个人数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

第二章　事件抽样分析

1、乌克兰总检察长办公室的秘密文件数据泄露

发布时间：2024.4.28
泄露数量：
售卖/发布人：maxfreedom2024

事件描述：2024.4.28某暗网数据交易平台有人宣称正在售卖一份从乌克兰总检察长办公室网站 (gp.gov.ua) 文件服务器上窃取的秘密文件。总共 1,771 个文件，文件总大小超过2Gb。卖家称文件内容包括：乌克兰总检察长办公室雇员数据、乌克兰最引人注目的刑事案件的数据、针对俄罗斯名人的刑事案件数据、克里米亚和顿涅茨克地区相关刑事案件数据、乌克兰总检察长令、乌克兰总检察长办公室采购等。该份数据的价格为30,000美元可议价。截止本篇报告撰写之时卖家调整价格为5,000美元可议价。

2、泰国公安内网运营商系统及泰国公安数据泄露

发布时间：2024.4.9
泄露数量：5,000,000,000
售卖/发布人：test_qqqq

事件描述：2024.4.9某暗网数据交易平台有人宣称正在售卖一份泰国公安内网运营商系统及泰国公安数据。该卖家称出售泰国公安内网运营商的50亿条数据，包括泰国所有运营商的数据。另外，还出售泰国公安内网权限，其中包括过去7年的运营商数据，这包括但不限于泰国各个城市地区的MSISDN和IMEI数据并且还将出售泰国公安内网的系统权限，以上全部数据总价为8,000美元，卖家留下了自己的telegram和邮箱以供买家联系。

3、萨尔瓦多农业和畜牧部和欧空局数据泄露

发布时间：2024.4.5
泄露数量：
售卖/发布人：ToraxGood

事件描述：2024.4.5某暗网数据交易平台有人宣称正在售卖一份萨尔瓦多农业和畜牧部和欧空局数据。卖家称获取到了萨尔瓦多农业和畜牧部和欧空局部分数据库以及后端代码，该份数据售卖价格为6,500美元，卖家称只会卖给一位买家并且价格可以协商。截止本篇报告撰写之时该篇帖子以及该卖家均已消失。

4、以色列国防部数据泄露

发布时间：2024.4.4
泄露数量：
售卖/发布人：NetHunt3r

事件描述：2024.4.4某暗网数据交易平台有人宣称正在售卖一份以色列国防部数据。卖家称此份数据包括：以色列国防部与以色列承包商之间的合同、以色列国防部与外国之间的合同（合同详细信息、合同日期、交货日期、合同对应关系、合同总金额、合同说明等）、以色列国防部机密信息、以色列MOD、军事蓝图和技术图纸MOD、人力清单以色列MOD、数据库、伤员和退伍军人信息等。此份数据售价为50BTC。

5、萨尔瓦多公民数据泄露

发布时间：2024.4.29
泄露数量：5,000,000
售卖/发布人：CiberInteligenciaSV

事件描述：2024.4.29某暗网数据交易平台有人宣称正在售卖一份萨尔瓦多公民数据。卖家称此份数据包含600万条萨尔瓦多公民记录，这些数据包括姓名、出生日期、电话号码、实际地址和近 100 万个唯一的电子邮件地址。此外，超过500万张相应的个人资料照片也被泄露。据公开资料显示，萨瓦尔多总人口为635万人（2023年统计），根据泄露数量来说，这次数据泄露的严重程度不言而喻。

6、*国公民个人信息数据泄露

发布时间：2024.4.21
泄露数量：96,531,890
售卖/发布人：mrwan

事件描述：2024.4.21某暗网数据交易平台有人宣称正在售卖一份*国公民个人信息数据。卖家称此份数据的来源是*国公***法。此份数据总大小为2.74GB，总条数为96,531,890条，包含的字段有：手机号码，全名，身份证号码，省，市，手机运营商，性别，出生年份，出生月份。此份数据的价格为30,000美元并支持分批购买，一千万条的售价为5,000美元或测试样例购买十万条售价为100美元，几天后降价为总价10,000美元，一千万条1,200美元。

7、*国苹果和华*用户数据泄露

发布时间：2024.4.21
泄露数量：76,369,447
售卖/发布人：mrwan

事件描述：2024.4.21某暗网数据交易平台有人宣称正在售卖一份*国苹果和华**用户数据。卖家称此两份数据均来自运营商，iOS用户数据总大小为1.07GB，总条数为62,581,234条，价格为6,200美元；华*用户数据总大小为235MB，总条数为13,788,213条，价格为1,300美元。两份数据包含的字段均为：手机号码、全名、省份、城市、移动运营商、出生年份、性别。并两份数据均支持购买价格为100美元的十万条数据样例测试。

8、*国公积金数据泄露

发布时间：2024.4.21
泄露数量：531,405
售卖/发布人：mrwan

事件描述：2024.4.21某暗网数据交易平台有人宣称正在售卖一份*国公积金数据。此份数据大小为37M，共531,405条，售价为12,000美元并支持10万条3,000美元购买和1万条500美元测试数据购买。此份数据的数据字段有：全名、身份证号码、手机号码、性别、生日。卖家提供了1000条样例数据，但经调查发现样例数据均为之前泄露过的老数据，而并非卖家声称的2024年4月的新数据。如果这1000条样例均来自卖家此次售卖的53万条数据，那么可以判断此份数据均为之前泄露过的老数据拼凑或摘取而来。

9、台湾外交部数据泄露

发布时间：2024.4.17
泄露数量：
售卖/发布人：Tonya

事件描述：2024.4.17某暗网数据交易平台有人宣称正在售卖一份台湾外交部数据。卖家称此份数据共有大小为4GB的pdf文件，称其中还有台湾副领导人民进党萧美琴通过外交部走私酒的相关文件资料。具体价格卖家并未提及也并未留下自己的联系方式，同时上传该篇帖子后该卖家未曾再次上线该论坛。

10、**航天******数据泄露

发布时间：2024.4.23
泄露数量：
售卖/发布人：jcanter

事件描述：2024.4.23某暗网数据交易平台有人宣称正在售卖一份**航天******数据。黑客称获取到了**航天******的一些数据库以及配置文件，总大小约3.8GB。随后27日，该黑客上传了航天******的第二部分数据，其中多数为源代码文件，总大小约为3.9GB。

第三章　勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年4月全球活跃的商业黑客组织（有勒索发布行为）共36个，公开的勒索事件共365件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的65%，如下所示：

2、黑客组织活跃度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年4月）达到一年前统计前端（2023年5月）的79.9%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

（1）美国华盛顿特区

商业黑客组织lockbit3在2024.4.13公布了美国华盛顿特区保险、证券和银行部 (DISB)被勒索的信息。据称LockBit黑客组织窃取的 800GB 数据是通过对第三方软件提供商Tyler Technologies的攻击而获得的。该部门未按照勒索组织的要求在规定期限内支付赎金，4月23日，lockbit在其官网发表声明：“这些数据不会被释放出来，他被私人买走了”。

（2）印度德里警察局

商业黑客组织Kill Security在2024.4.2公布了印度德里警察局被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，Kill Security随后公布了窃取到的所有数据。

（3）荷兰半导体公司内佩利亚

商业黑客组织Dunghill在2024.4.10公布了荷兰半导体公司内佩利亚被勒索的信息。该公司作为IBM，space x，苹果，华为等公司的供应商。截止本篇文章撰写之时，Dunghill Leak除了样例数据外并未释放更多数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

■ 对该类事件，本文分析员的观点和立场如下：

⑴ 坚决支持对勒索软件和黑客组织说“NO！”
⑵ 企业CISO仍应加强自身安全建设，防止该类事件带来的损失；
⑶ 访问https://0.zone/DwmTab获得全部勒索事件监控

5、典型黑客组织简介（Akira）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、Play如需了解请翻阅往期报告。

Akira于2023年4月底开始首次行动，截止2024年4月底共发动了255次勒索行动，平均每个月就有超20名受害者。有研究表明，Akira与现已解散的Conti勒索软件团伙有联系。这方面的技术细节包括在利用方法、选择特定类型的文件和目录作为目标、选择加密算法的应用程序、使用赎金支付地址以及纳入类似功能等方面的相似性。虽然这两个团体之间的任何正式关系或联系尚未得到证实，但这种联系可能表明Akira的行动具有一定程度的复杂性，并加强了他们能力很强，应被视为严重威胁的看法。Akira背后的攻击者采用多重勒索策略，并托管一个基于TOR的(.onion)网站，如果受害者不遵守赎金要求，该网站就会列出受害者以及任何被盗数据。受害者被指示通过基于TOR的门户 (.onion) 联系攻击者，在该门户中输入收到的赎金票据中提供的唯一标识符，开始协商过程。该勒索软件的名称可能来自1988年的同名动漫电影，黑客组织在其泄露网站上模仿了这部电影的赛博朋克美学，以下是Akira的官网界面：