《全球数据泄露态势月度报告》（2025年8月）| 附下载地址

数据泄露

2天前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2025年8月。

一、数据泄露市场

2025年8月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报68,904份；
泄露数据的高价值买卖情报6,826份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据1255份，其他数据泄露较多的国家还包括中国、印度、印尼、法国、英国、德国、泰国等。详情如下图所示：

2、行业分类

8月份行业属性数据占泄露数据总量约87%左右，泄露的行业数据主要包括金融行业、党政军与社会、信息和互联网行业、批发零售业、文体娱乐业等。13%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

8月份泄露的数据中包含数份数十亿三要素日志数据、数十份数十亿二要素数据、十亿条个人邮箱电话数据泄露，除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、美国联邦调查局GBI和中央情报局CIA数据泄露

发布时间：2025.8.24

泄露数量：

售卖/发布人：DigitalGhostt

事件描述：2025.8.24某暗网数据交易平台有人宣称正在售卖一份美国联邦调查局GBI和中央情报局CIA数据。卖家称此份数据包含的字段有姓名、职位、地址、邮箱、电话、军事文档等，此份数据的价格未知，需与卖家私下联系沟通。

2、美国空军/海军在亚太地区的数据泄露

发布时间：2025.8.28

泄露数量：

售卖/发布人：FreedomSecurity1337

事件描述：2025.8.28某暗网数据交易平台有人宣称正在售卖一份美国空军和海军在亚太地区的数据。卖家称此份数据中包含的字段有姓名、ssn号码、军衔、所属基地、入伍日期等人员信息和F/A-18 美国海军舰载机、B1战略轰炸机、阿利·伯克级驱逐舰、尼米兹级航空母舰等数据。此份数据的价格未知，需与卖家私下联系沟通。

3、伊朗国防部的机密数据泄露

发布时间：2025.8.8

泄露数量：

售卖/发布人：HvcKMvsoneria33

事件描述：2025.8.8某暗网数据交易平台有人宣称正在售卖一份伊朗国防部的机密数据。卖家称此份数据包括先进战机的原始蓝图、隐形和攻击潜艇、弹道导弹系统、和洲际导弹系统、作战无人机和监视技术、电子战基础设施以及有关伊朗核计划的机密文件。此份数据的价格未知，需与卖家私下联系沟通。

4、韩国国防部的机密数据泄露

发布时间：2025.8.23

泄露数量：

售卖/发布人：petrush4x0r

事件描述：2025.8.23某暗网数据交易平台有人宣称正在售卖一份韩国国防部的机密数据。卖家称此份数据包含内部通信、机密行动记录、财务线索和战略规划文档等，此份数据大小为25GB，售卖价格为2000美元。

5、北约机密数据泄露

发布时间：2025.8.21

泄露数量：

售卖/发布人：Chucky_BF

事件描述：2025.8.21某暗网数据交易平台有人宣称正在售卖一份北约机密数据。卖家称此份数据的大小为8GB，数据内容包括北约内部文件（咨询、指挥与控制文件）、用户账户信息（电子邮件、登录信息、部分凭证集）、内部通信与限制使用文件、敏感情报与外交记录等，此份数据的价格为9000美元。

6、中****银行数据泄露

发布时间：2025.8.28

泄露数量：4,000,000

售卖/发布人：DigitalGhostt

事件描述：2025.8.28某暗网数据交易平台有人宣称正在售卖一份中****银行数据。卖家称此份数据的总量为400万条，数据字段包含姓名、电话、银行号码、银行名称、Id、卡号、省份、城市、性别、年龄、出生地，此份数据的价格未知，需与卖家私下联系沟通。

7、快*****驾考数据泄露

发布时间：2025.8.28

泄露数量：2,264,336

售卖/发布人：DigitalGhostt

事件描述：2025.8.28某暗网数据交易平台有人宣称正在售卖一份快*****驾考数据。卖家称此份数据共2,264,336条，数据大小为563MB，数据字段包含头像、性别、城市、手机号等。

8、Pincong网站用户登录凭证数据泄露

发布时间：2025.8.28

泄露数量：

售卖/发布人：kiwib87227

事件描述：2025.8.28某暗网数据交易平台有人宣称正在售卖一份Pincong网站用户登录凭证数据。卖家称此份数据的价格为3000美元，数据字段包含用户名和密码。

9、视频聊天平台t****o数据泄露

发布时间：2025.8.28

泄露数量：7,000,000

售卖/发布人：DigitalGhostt

事件描述：2025.8.28某暗网数据交易平台有人宣称正在售卖一份视频聊天平台t****o数据。卖家称此份数据大小为300GB，数据包含超过70万个唯一姓名、用户名、电子邮件和 IP 地址、性别、个人资料照片和私人消息。此份数据的价格为700美元。

10、中国学校学生数据泄露8000万条

发布时间：2025.8.28

泄露数量：

售卖/发布人：DigitalGhostt

事件描述：2025.8.28某暗网数据交易平台有人宣称正在售卖一份中国学校学生数据。卖家称此份数据共8000万条，数据字段包含姓名、手机号、身份证号、政治面貌、户籍所在地、邮箱、地址等。此份数据的价格未知，需与卖家私下沟通联系。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2025年8月全球活跃的商业黑客组织（有勒索发布行为）共50个，公开的勒索事件共530件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的66%，如下所示：

2、黑客组织活跃趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2025年8月）达到一年前统计前端（2024年9月）的169.8%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

微信图片_20250930141313_719_9.jpg

1)美国安全第一信用合作社

商业黑客组织INC在2025.8.26公布了美国安全第一信用合作社被勒索的信息。美国安全第一信用合作社未按照黑客组织INC的要求支付赎金，INC已经在其官网上释放他们获取到的全部美国安全第一信用合作社的数据。

2)美国国防供应商syncadd

商业黑客组织Qilin在2025.8.12公布了美国国防供应商syncadd被勒索的信息。截止本篇报告发出之时，Qilin尚未发布更多关于此次勒索的信息。

3)美国国防供应商哈德威克战术公司

商业黑客组织safepay在2025.8.29公布了美国国防供应商哈德威克战术公司被勒索的信息。哈德威克战术公司未按照黑客组织safepay的要求支付赎金，safepay已经在其官网上释放他们获取到的全部哈德威克战术公司的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

微信图片_20250930141406_721_9.png

5、典型黑客组织简介（Warlock）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka、Hellcat、Babuk2、NightSpire、Dragonforce、Handala、D4RK4RMY如需了解请翻阅往期报告。

本期为您介绍的是Warlock 黑客组织。Warlock（也称为 GOLD SALEM）是一个于 2025 年初（约3月至6月）开始活跃的勒索软件团伙。该组织通过在俄罗斯语网络犯罪论坛RAMP上高调招募附属团伙，迅速建立了其勒索软件即服务(RaaS)运营模式。Warlock团伙最引人注目之处在于其与一个被称为Storm-2603 的威胁行为者集群的紧密联系，该集群被微软等安全厂商认为具有结合了网络犯罪（经济勒索）和APT（高级持续性威胁）技术的混合特征。此外，Warlock在技术上和受害者上与解散或重组的老牌RaaS组织如LockBit 3.0和Black Basta存在重叠，这表明其可能是由经验丰富的原附属团伙重组而成的新品牌。

Warlock团伙在攻击过程中展现出高效率与机会主义并存的典型特征：其首先利用“ToolShell漏洞链”这一微软SharePoint Server零日漏洞，在未及时修补的服务器上植入Web Shell，迅速建立初始据点并作为横向渗透的桥头堡；随后于24小时内完成权限提升，通过Mimikatz窃取内存凭据，借助PsExec与Impacket等工具实现横向移动，并采用“自带漏洞驱动程序”（BYOVD）技术强制终止EDR进程，显著降低被发现概率；在侦察阶段即锁定美欧地区具备高额赎金支付能力的电信、金融、制造及政府机构，执行“先窃取、后加密”的双重勒索策略，在部署带有.x2anylock扩展名的勒索软件前大量外泄敏感数据，同时删除卷影副本阻断数据恢复，最终以暗网泄露站点公开拍卖或威胁发布被盗资料为手段，向受害者施加财务与声誉双重压力，以迫使其支付赎金。