《全球数据泄露态势月度报告》（2025年4月）| 附下载地址

数据泄露

1天前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2025年4月。

一、数据泄露市场

2025年4月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报509,880份；
泄露数据的高价值买卖情报3,999份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据904份，其他数据泄露较多的国家还包括：中国、印度、印尼、俄罗斯、法国、马来西亚、巴西等。详情如下图所示：

2、行业分类

4月份行业属性数据占泄露数据总量约91%左右，泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、批发零售业、电商行业等。9%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

4月份泄露的数据中包数十份数十亿三要素日志数据以及数十份数十亿二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、北约和土耳其军方/国防制造商Havelsan数据泄露

发布时间：2025.4.18

泄露数量：

售卖/发布人：Dedale

事件描述：2025.4.18某暗网数据交易平台有人宣称正在售卖一份北约和土耳其军方/国防制造商Havelsan数据，卖家称其中包含与哈维尔桑开发的军事技术相关的高度机密文件，目前土耳其和其他北约成员国正在使用这些技术。此份数据售价为1000美元。

2、伊拉克商务部数据泄露

发布时间：2025.4.23

泄露数量：20,000,000

售卖/发布人：Dedale

事件描述：2025.4.23某暗网数据交易平台有人宣称正在售卖一份伊拉克商务部数据。卖家称此份数据包括60 万 ID（完整信息 + ID）、伊拉克国家互联网系统（所有活跃用户的数据）、伊拉克学院35万（全名、电子邮件、电话、IP）等，数据字段包含全名、出生日期、身份证号码、慈善机构主要成员姓名、家庭成员人数、配给卡号、机构名称、供应中心等，此份数据的大小为5.5TB，此份数据的价格为2000美元。

3、委内瑞拉警察数据泄露

发布时间：2025.4.27

泄露数量：

售卖/发布人：Cypher404x

事件描述：2025.4.27某暗网数据交易平台有人宣称正在售卖一份委内瑞拉警察数据。卖家称此份数据的大小为130GB，数据字段包含身份证、护照、警察证、军人证、出生证明、高中成绩单以及警察人员家庭成员的文件。此份数据的价格需要与卖家进行私下沟通。

4、以色列政府和军方大规模数据泄露

发布时间：2025.4.27

泄露数量：

售卖/发布人：Cypher404x

事件描述：2025.4.27某暗网数据交易平台有人宣称正在售卖一份以色列政府以及军事数据，卖家称“我们不是宗教团体或政治团体，我们就像任何想要找乐子和赚钱的黑客一样。但是当我们查看这些文件时，我们对以色列对加沙人民犯下的种族灭绝以及影响所有国家的肮脏行动感到震惊。”此份数据的内容包括与公司和政府（埃及、土耳其、摩洛哥、约旦、阿塞拜疆、乌克兰、法国、美国、英国、沙特阿拉伯、阿联酋和许多其他国家）的秘密会议和邀请的文件和合同；与各国的外交和军事关系；国防和战争技术、研究和战略；铁穹防御系统的防空系统(ADS)和火箭炮系统(RAS)以及大卫投石索武器系统(DSWS)；该地区和边界的雷区，有坐标和手稿的精确细节，特别是在加沙、戈兰高地和以色列北部；以及有关以色列战壕和避难所的精确数据等。卖家称此份数据的时间跨度为1980年到现在，此份数据的价格为2000美元且卖家称只会出售给巴勒斯坦、黎巴嫩、伊朗政府、伊拉克、也门、俄罗斯政府、朝鲜政府或中国政府。

5、马来西亚卫生部数据泄露

发布时间：2025.4.14

泄露数量：20,756,445

售卖/发布人：placenta

事件描述：2025.4.14某暗网数据交易平台有人宣称正在售卖一份马来西亚卫生部数据。卖家称此份数据最早为2024年6月在某个暗网市场出售，但卖家却销声匿迹。此份数据的字段包含全名、身份证号码 (IC)、性别、种族、地址、电话号码、议会和州选区（议会名称、DUN 名称）、选民类别，此份数据的总数量为20,756,445，此份数据的价格卖家并未提及。

6、标多*****数据泄露

发布时间：2025.4.11

泄露数量：6,081,278

售卖/发布人：Ponce

事件描述：2025.4.11某暗网数据交易平台有人宣称正在售卖一份标多*****数据。卖家称此份数据共6081278条，数据字段包含姓名、电子邮件、电话号码、地址、纳税人编号、信用代码等，此份数据的价格未知。

7、杉*****科技数据泄露

发布时间：2025.4.24

泄露数量：

售卖/发布人：sentap

事件描述：2025.4.24某暗网数据交易平台有人宣称正在售卖一份杉*****科技数据。卖家称此份数据的时间跨度为2011年至2021年，主要数据内容为该公司的内部机密数据，此份数据的价格为7000美元。

8、唯品*****用户数据泄露

发布时间：2025.4.25

泄露数量：20,000

售卖/发布人：c******g

事件描述：2025.4.25某暗网数据交易平台有人宣称正在售卖一份唯品*****用户数据。卖家称此份数据共2万条，数据字段包含微信昵称、地区、手机号等，此份数据的价格为13美元。

9、快*****用户网购数据泄露

发布时间：2025.4.27

泄露数量：1,000,000

售卖/发布人：d******y

事件描述：2025.4.27某暗网数据交易平台有人宣称正在售卖一份快*****用户网购数据。卖家称此份数据共100万条，数据字段包含姓名,手机号,地址,商品名称,日期等，此份数据的价格为30美元。

10、放心*****用户贷款数据泄露

发布时间：2025.4.29

泄露数量：34,980

售卖/发布人：q*******5

事件描述：2025.4.29某暗网数据交易平台有人宣称正在售卖一份放心*****用户贷款数据。卖家称此份数据共34980条，数据字段包含姓名、手机号、身份证号等，此份数据的价格为120美元。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2025年4月全球活跃的商业黑客组织（有勒索发布行为）共45个，公开的勒索事件共539件，TOP 10的黑客组织如下所示：

黑客.png

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的64%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2025年4月）达到一年前统计前端（2024年5月）的109.1%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

1事件.png

1)智利军队

商业黑客组织Rhysida在2025.4.25公布了智利军队被勒索的信息。截止本篇报告发出之时，智利军队官方暂未支付赎金，Rhysida已经在其官网上释放他们获取到的智利军队全部数据的30%。

2)科威特财政部

商业黑客组织Rhysida在2025.4.23公布了科威特财政部被勒索的信息。截止本篇报告发出之时，科威特财政部官方暂未支付赎金，Rhysida已经在其官网上释放他们获取到的科威特财政部全部数据的50%。

3)捷克共和国消防救援局

商业黑客组织qilin在2025.4.1公布了捷克共和国消防救援局被勒索的信息。捷克共和国消防救援局并未按照qilin的要求支付赎金，随后qilin在其官网上释放了他们获取到的所有捷克共和国消防救援局数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

2组织.png

5、典型黑客组织简介（NightSpire）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka、Hellcat、Babuk2如需了解请翻阅往期报告。

本期为您介绍的是NightSpire黑客组织。自2025年3月初以来，一个名为NightSpire的勒索软件组织开始活跃。与许多出现的新兴黑客组织不同，NightSpire的成员在技术和经验上均显不足，这可能表明他们对勒索软件攻击的运作方式尚不熟悉。

与此同时，NightSpire与Rbfs黑客组织可能有潜在关联，Rbfs黑客组织是一个鲜为人知且低调的组织。它们似乎由相同的运营者操控，并且受害者群体存在重叠。随着NightSpire的出现，网络上提及Rbfs勒索软件组织的记录已不复存在，这表明NightSpire很有可能仅仅是Rbfs的一次品牌重塑。在黑客论坛上有名为xdragon128和cuteliyuan的用户发布过许多宣传Rbfs和NightSpire的活动，这两名用户多次发帖寻找招聘谈判专家以及给自己的服务打广告（见下图0.zone截图）：

NightSpire的受害者波及多个国家，包括美国、加拿大、法国、巴西、日本、英国、印度、韩国、阿根廷等。从行业来看，NightSpire黑客组织已对医疗保健、教育、汽车、制造、政府机构、建筑、技术、零售和物流等多个领域造成了攻击。到目前为止，NightSpire的大多数受害者是中小型企业，即员工人数少于1000人的组织。

NightSpire在其泄密网站上公布了受害者的姓名和数据，并声称如果不支付赎金，他们将把窃取的数据出售给第三方。该组织采用了极其激进的施压手段，包括在收到赎金通知后设定最短两天的付款期限。下图为NightSpire的暗网官网截图：