《全球数据泄露态势月度报告》(2025年5月)

数据泄露
1天前

1750770448415748.jpg

本报告由数世咨询 & 零零信安 共同发布

在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。

为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。

本期报告的统计区间20255月。

一、数据泄露市场

20255月共监控到全球DWMDark Web Market)情报:

  • 深网和暗网有效情报1,019,395份;

  • 泄露数据的高价值买卖情报2,937份。


image006.png

1、国家分类

其中美国是数据泄露第一大国,共泄露数据699份,其他数据泄露较多的国家还包括:

中国、印度、法国、俄罗斯、印尼、泰国、马来西亚等。详情如下图所示:


1750770508187532.png

2、行业分类

5月份行业属性数据占泄露数据总量约88%左右,泄露的行业数据主要包括金融行业、党政军与社会、信息和互联网行业、批发零售业、电商行业、文体娱乐业、交通和仓储业等。12%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示:


image008.png

3、泄露数量

4月份泄露的数据中包数十份数十亿三要素日志数据以及数十份数十亿二要素数据泄露,因此除上述数据外,全球整体数据泄露量达到数百亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

事件抽样分析

1、巴基斯坦国防数据泄露

发布时间:2025.5.6

泄露数量:

售卖/发布人:xuii

事件描述:2025.5.6某暗网数据交易平台有人宣称正在售卖一份巴基斯坦国防数据。卖家称此份数据中包含巴基斯坦海军以及巴基斯坦国防生产相关的信息以及一份涵盖巴基斯坦和土耳其国防部门的战略规划,涵盖2025年至2035年,此份数据的价格为1000美元。


2、****时报用户数据泄露

发布时间:2025.5.12

泄露数量:32,000,000

售卖/发布人:Adela Pansy

事件描述:2025.5.12某暗网数据交易平台有人宣称正在售卖一份***时报用户数据,卖家称此份数据共3200万条,数据字段包括用户名、全名、电话、信用卡号、卡到期日期、账单地址、发票、电子邮件、设备、位置。


3、 俄罗斯联邦安全局FSB数据泄露

发布时间:2025.5.14

泄露数量:

售卖/发布人:Michealgabbert

事件描述:2025.5.14某暗网数据交易平台有人宣称正在售卖一份俄罗斯联邦安全局FSB数据。卖家称此份数据为绝密数据,数据内容包含关于与**特工打交道的阴谋措施、关于与***公司有关的工作、俄罗斯联邦安全局在IS领域工作人员的要求、外国情报机构在黑客环境中的特工工作、西方采取措施让俄罗斯媒体代表参与破坏性活动2024、关于俄罗斯联邦电信网络总局GRU在俄罗斯培训越南人的渠道中的活动、关于规划台湾线路上的运营和服务活动、关于规划伊朗线路上的运营和服务活动的建议。


4、伊拉克内政部员工数据泄露

发布时间:2025.5.19

泄露数量:650,000

售卖/发布人:Q83OO

事件描述:2025.5.19某暗网数据交易平台有人宣称正在售卖一份伊拉克内政部员工数据。卖家称此份数据大小为4TB,包含了超65万名伊拉克内政部员工的完整数据,所涉及到的政府部门有反恐部门、联邦警察、情报总局、边境安全部队、特别行动部门等,数据字段包含完整个人信息(姓名、身份证、出生日期、地址) 、高清身份证图像 、居留卡图像 、联系方式(电话、邮箱) 、工作信息(级别、部门、工作地点、入职日期) ,此份数据的价格为10个比特币。


5、美国德克萨斯州弗里斯科警察人员数据泄露

发布时间:2025.5.11

泄露数量:90,000

售卖/发布人:Shinchan

事件描述:2025.5.11某暗网数据交易平台有人宣称正在售卖一份美国德克萨斯州弗里斯科警察人员数据。卖家称此份数据共9万条,包含的数据字段有名字、姓氏、州、邮政编码、备用电话、电子邮件地址、电子邮件地址确认、IP地址、手机、职位等。


6、 *国国*********局数据泄露

发布时间:2025.5.14

泄露数量:92,000,000

售卖/发布人:heiwukoong

事件描述:2025.5.14某暗网数据交易平台有人宣称正在售卖一份*国国*********局数据。卖家称此份数据共9200万条,包含的数据字段有手机号码,姓名,身份证号码,住址,手机号码所在地等。


7、知乎数据泄露【假】

发布时间:2025.5.22

泄露数量:

售卖/发布人:l33tfg

事件描述:2025.5.22某暗网数据交易平台有人宣称正在售卖一份知乎数据,卖家称“我从知乎网站获取了所有IP流量的数据,基本上是连接到它的每个IP地址https://files.catbox.moe/w01uns.pcapng 。”此份数据的数据字段包含登录地址、用户名、密码。此份数据经零零信安研究判断后发现此份数据系对历史数据中网站域名或邮箱域名包含zhihu.com的整合,并非知乎泄露的新数据。


8、*国军网数据泄露【假】

发布时间:2025.5.7

泄露数量:

售卖/发布人:l33tfg

事件描述:2025.5.7某暗网数据交易平台有人宣称正在售卖一份*国军网数据,卖家称“我知道这只是一次小规模的泄漏,但仍然是一次高调的攻击。我还短暂地利用了一个HTML注入漏洞,将我的恶意代码添加到了eng.chinamil.com.cn和81.cn(这两个网站都是*国军方网站)。但当我再次访问恶意代码链接页面时,该网站屏蔽了它。不过我设法截取了屏幕截图。”此份数据的数据字段包含登录地址、用户名、密码。此份数据经零零信安研究判断后发现此份数据系对历史数据中网站域名或邮箱域名包含chinamil.com.cn的整合,并非*国军网泄露的新数据。


9、中国多个地区物业公司数据泄露

发布时间:2025.5.25

泄露数量:

售卖/发布人:ctkgup3hxc

事件描述:2025.5.25某暗网数据交易平台有人宣称正在售卖一份中国多个地区物业公司数据。卖家称正在售卖多个地区共28个物业公司的业主信息、员工信息、员工证件照片、身份证照片、证明文件、劳动合同、公司文件等,并提供了一个19GB的样例文件,此份数据整体共114GB,具体价格未知。


10、****东酒类购物数据泄露

发布时间:2025.5.29

泄露数量:5,000

售卖/发布人:5*****5

事件描述:2025.5.29某暗网数据交易平台有人宣称正在售卖一份****东酒类购物数据。卖家称此份数据共5000条,包含的数据字段有姓名、手机号、地址、购买商品等,此份数据的价格为150美元。

勒索软件和黑客组织

1、活跃商业黑客组织综述

20255月全球活跃的商业黑客组织(有勒索发布行为)共60个,公开的勒索事件共843件,TOP 10的黑客组织如下所示:


1750771110846089.jpg


TOP 10的商业黑客组织公开发布的勒索事件占全部事件的64%,如下所示:


image021.png


2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所减少),整体活跃度趋势正在逐步趋于稳定,统计末端(20255月)达到一年前统计前端(20246月)的193.8%


1750771228107936.png


随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPTFraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:


image023.png


3、本月典型事件说明

由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:

微信图片_20250624201351.png


1) 科威特财政部

商业黑客组织Rhysida2025.5.6公布了科威特财政部被勒索的信息。截至本篇报告发出之时,科威特财政部官方暂未支付赎金,Rhysida已经在其官网上释放他们获取到的科威特财政部全部数据的50%


1750771308275823.png


2) 秘鲁政府

商业黑客组织Rhysida2025.5.6公布了秘鲁政府被勒索的信息。截至本篇报告发出之时,秘鲁政府官方暂未支付赎金,Rhysida已经在其官网上释放他们获取到的秘鲁政府的全部数据。

1750771345971142.png


3) 美国国防供应商EIZO Rugged Solutions

商业黑客组织Play2025.5.13公布了美国国防供应商EIZO Rugged Solutions被勒索的信息。截至本篇报告发出之时,美国国防供应商EIZO Rugged Solutions官方暂未支付赎金,Play已经在其官网上释放他们获取到的美国国防供应商EIZO Rugged Solutions的全部数据。

1750771382273428.png


4、本月涉及中国企业的勒索事件说明

在当今数字化时代,网络安全问题日益突出,勒索软件袭击已成为全球范围内的一大威胁,中国也不例外。近年来,我国频繁发生的勒索软件事件已经引起了广泛关注,但我们仍需进一步重视起来,以防范这一威胁。勒索组织的攻击手段日益多样化,其针对性强、隐蔽性高,一旦遭受攻击,可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户,都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明:

微信图片_20250624201400.png

5、典型黑客组织简介(Dragonforce)


由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有:Lockbit3RoyalPlayRhysidaAlphv8baseHunters InternationalBianLianAkiraCactusAbyss-Data、Black SuitArcus Mediaspace bearkillsecfogFunksecBabuk-BjorkaHellcatBabuk2NightSpire如需了解请翻阅往期报告。

本期为您介绍的是Dragonforce黑客组织。Dragonforce202312月开始首次出现,截至本篇报告发出之时,DragonForce攻击了超180名受害者。DragonForce的运营者使用双重勒索技术,除了加密受害者的敏感数据外,还会窃取这些数据。然后,他们要求受害者支付赎金,以换取解密器,并“承诺”不会公开被盗数据。该组织最初将自己定位为亲巴勒斯坦的黑客行动。然而,随着时间的推移,他们的目标发生了变化并不断扩大。

2024626日,用户名为“dragonforce”的用户开始在地下论坛“RAMP”上推广DragonForce勒索软件的联盟计划,其中包含有关其联盟成员如何赚取总赎金金额80%的信息,以及勒索软件的主要功能,包括客户端跟踪、自动文件传送、安全访问控制以及对扩展检测和响应(XDR) / 端点检测和响应(EDR) 绕过、加密和系统模拟的支持,并补充说,还为其联盟成员提供全面的支持服务。DragonForce勒索软件组织已展现出明显的攻击模式,其攻击目标涵盖了广泛的行业和地区。其受害者名单涵盖了私营和公共部门的组织,重点关注工业、政府和服务型实体。下图为DragonForce的暗网官网截图镜像:

1750771486524210.png

在其暗网主页留有联系方式以供受害者与他们进行联系:

1750771521672961.png


同时在其暗网主页上还附有自我介绍与招收合伙人的信息:

1750771550623545.png


如果受害者并未按时支付赎金,则Dragonforce会把他们获取到的全部受害者数据释放到官网上供他人下载:


1750771579189740.png


四、匿名社交社群

5月份监控到匿名社交社群情报总数量76,091,194 条,提供的有效数据泄露样例下载9,918份。涉及到我国数据泄露的内容包括:网购信息、保险信息、学生信息、家长信息、医护信息、车主信息、网贷信息、银行客户信息、投资信息等众多类型。以下随机选取展示部分样本:

image031.png


仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。

此外,检索到5月份使用匿名社交软件的活跃用户中,以“86(我国区号)”开头的手机号共发信息147,826条。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下为5月份使用“86”开头的手机号的TOP 10信息:

image035.png


如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 dw@dwcon.cn 与我们联系。

数据防泄漏推荐

根据数世咨询价值图谱推荐:


天空卫士、闪捷信息

暗网情报服务,请联系零零信安。