《全球数据泄露态势月度报告》（2025年6月）| 附下载地址

数据泄露

2天前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2025年6月。

一、数据泄露市场

2025年6月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报1,140,767份；
泄露数据的高价值买卖情报5,232份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据892份，其他数据泄露较多的国家还包括中国、印度、印尼、法国、泰国、越南、马来西亚等。详情如下图所示：

2、行业分类

6月份行业属性数据占泄露数据总量约90%左右，泄露的行业数据主要包括金融行业、党政军与社会、信息和互联网行业、批发零售业、电商行业、文体娱乐业等。10%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

6月份泄露的数据中包数十份数十亿三要素日志数据以及数十份数十亿二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、玻利维亚海军数据泄露

发布时间：2025.6.6

泄露数量：

售卖/发布人：ITSUKI

事件描述：2025.6.6某暗网数据交易平台有人宣称正在售卖一份玻利维亚海军数据。卖家称此份数据涉及4,662 份现役军人个人记录，其中包含详细的医疗评估和体检结果、健康诊断、部队分配和军事绩效指标，此份数据的价格为5000美元。

2、哥伦比亚武装部队总司令部数据泄露

发布时间：2025.6.6

泄露数量：

售卖/发布人：ITSUKI

事件描述：2025.6.6某暗网数据交易平台有人宣称正在售卖一份哥伦比亚武装部队总司令部数据，卖家称此份数据大小为25GB，共有超350 000个文件，数据字段包含姓名、电话、邮箱、地址、个人专业、军衔代码等。此份数据的价格为40000美元。

3、泰国皇家警察数据泄露

发布时间：2025.6.26

泄露数量：

售卖/发布人：sazz

事件描述：2025.6.26某暗网数据交易平台有人宣称正在售卖一份泰国皇家警察数据。卖家称此份数据大小为130GB，包含超250万份文件，数据内容包含敏感的执法记录，包括车辆拦截数据、违法者报告、官员内部通讯和文件档案。此份数据的价格为10000美元。

4、委内瑞拉国防部数据泄露

发布时间：2025.6.16

泄露数量：

售卖/发布人：Cypher404x

事件描述：2025.6.16某暗网数据交易平台有人宣称正在售卖一份委内瑞拉国防部数据。卖家称此份数据大小为2.8GB，数据字段包含姓名、邮箱、身份证号、所属机构等，此份数据的价格未知。

5、埃及飞行员数据泄露

发布时间：2025.6.15

泄露数量：1,300

售卖/发布人：bxxxx1

事件描述：2025.6.15某暗网数据交易平台有人宣称正在售卖一份埃及飞行员数据。卖家称此份数据共包含1300条埃及飞行员数据，包括全名、电话号码、职业道路、城市等。

6、台湾xxx数据泄露

发布时间：2025.6.24

泄露数量：

售卖/发布人：Jetimbek

事件描述：2025.6.24某暗网数据交易平台有人宣称正在售卖一份台湾xxx数据。卖家称此份数据的价格为20000美元，数据字段包含军职代码、姓名、性别、军衔、单位名称、出生日期、现任任务、电话等。

7、小*****卡贷数据泄露

发布时间：2025.6.4

泄露数量：100,000

售卖/发布人：Panda

事件描述：2025.6.4某暗网数据交易平台有人宣称正在售卖一份小*****卡贷数据。卖家称此份数据共10万条，包含的数据字段有手机号、短信等，此份数据的价格为300美元。

8、名*****汽车客户数据泄露

发布时间：2025.6.4

泄露数量：4,991

售卖/发布人：Panda

事件描述：2025.6.4某暗网数据交易平台有人宣称正在售卖一份名*****汽车客户数据。卖家称此份数据共4991条，数据字段包含电话、地址、运营商等，此份数据的价格为225美元。

9、安*****物流数据泄露

发布时间：2025.6.9

泄露数量：50,000,000

售卖/发布人：A******4

事件描述：2025.6.9某暗网数据交易平台有人宣称正在售卖一份安*****物流数据。卖家称此份数据共5000万条，包含的数据字段有姓名、手机号、身份证号，此份数据的价格为188美元。

10、太*****保险客户数据泄露

发布时间：2025.6.18

泄露数量：100,000

售卖/发布人：732346

事件描述：2025.6.18某暗网数据交易平台有人宣称正在售卖一份太*****保险客户数据。卖家称此份数据共10万条，数据字段包含姓名、电话、地址、身份证号等，此份数据的价格为550美元。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2025年6月全球活跃的商业黑客组织（有勒索发布行为）共48个，公开的勒索事件共502件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的62%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2025年6月）达到一年前统计前端（2024年7月）的112.8%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

6月典型案例说明.png

1)美国怀俄明县政府

商业黑客组织ThreeAM在2025.6.14公布了美国怀俄明县政府被勒索的信息。截止本篇报告发出之时，美国怀俄明县政府官方暂未支付赎金，ThreeAM已经在其官网上释放他们获取到的美国怀俄明县政府全部数据的10%。

2)以色列魏茨曼科学研究所

商业黑客组织handala在2025.6.27公布了以色列魏茨曼科学研究所被勒索的信息。截止本篇报告发出之时，以色列魏茨曼科学研究所尚未有官方回应。

3)中*****油美国

商业黑客组织Rhysida在2025.6.16公布了中*****油美国被勒索的信息并勒索赎金20个比特币。中*****油美国并未按照黑客麦Rhysida的要求支付赎金，随后Rhysida释放了他们获取到的中*****油美国3.8TB的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

6月中国企业.png

5、典型黑客组织简介（Handala）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka、Hellcat、Babuk2、NightSpire、Dragonforce如需了解请翻阅往期报告。

本期为您介绍的是Handala黑客组织。Handala黑客组织，作为一个亲巴勒斯坦的网络行动团体，自2023年12月18日起便展现出其活跃性。该组织主要针对以色列关键基础设施，并将其攻击范围扩展至所有在网络威胁领域支持以色列，或在以色列境内运营的组织。“Handala”这一名称源于政治漫画家纳吉·阿里于1969年创作的同名角色。该角色现已成为巴勒斯坦人民身份认同及抵抗的象征。Handala黑客行动组织在其官方社交媒体账户，包括Telegram、Tox和X上，均以此角色作为其视觉标识。Handala黑客行动组织采用多元化的攻击手段，包括网络钓鱼 (Phishing)、数据窃取 (Data Exfiltration)、勒索 (Extortion)，以及运用自定义Wiper恶意软件实施破坏性攻击。该组织惯用多阶段加载流程：首先利用一个由Delphi编码的第二阶段加载程序 (Second-Stage Loader)，随后通过 AutoIT注入器 (AutoIT Injector)投放专门针对Windows和Linux操作系统环境的Wiper恶意软件。

在初期时Handala曾在现已被执法关闭的论坛breachforums进行过宣传，下图为Handala在breachforums论坛上发布过的所有内容的0.zone镜像截图：

0.zone链接：

https://0.zone/search_home?title_type=darknet&title=%28root_domain%3D%3Dbreachforums.st%26%26msg.author%3D%3DHandala%29&page=1&pagesize=10

Handala运营着数据泄露网站与telegram频道，用于公布其窃取的数据，以及能够持续宣传其攻击行为并向受害者施压。下图为Handala运营的数据泄露网站所有内容的0.zone镜像截图：

0.zone链接：

https://0.zone/search_home?title_type=darknet&title=%28org%3D%3DHandala%7C%7Cbody%3D%3DHandala%7C%7Cdescription%3D%3DHandala%29%26%26%28hot%3D2%29%26%26%28tags%3D%E9%BB%91%E5%AE%A2%E7%BB%84%E7%BB%87%29&page=1&pagesize=10

就其已公布的逾百起攻击事件而言，Handala黑客行动组织的受害者绝大多数位于以色列境内，仅有少数攻击指向其他国家。这进一步凸显了该组织以以色列实体为主要攻击目标的明确意图，影响较大或涉及党政军机构的有下列事件：