《全球数据泄露态势月度报告》(2025年9月)| 附下载地址

数据泄露
4天前

1761034543444093.jpg

本报告由数世咨询 & 零零信安 共同发布 

在万物互联的数字化时代,数据作为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。

为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。

本期报告的统计区间20259月。

一、数据泄露市场

20259月共监控到全球DWMDark Web Market)情报:

  • 深网和暗网有效情报138,330份;

  • 泄露数据的高价值买卖情报4,858份。

image006.png


1、国家分类

其中美国是数据泄露第一大国,共泄露数据1275份,其他数据泄露较多的国家还包括中国、印度、印尼、法国、泰国、俄罗斯、马来西亚等。详情如下图所示:

image007.png


2、行业分类

9月份行业属性数据占泄露数据总量约1%左右,泄露的行业数据主要包括金融行业、党政军与社会、信息和互联网行业、批发零售业、文体娱乐业等。9%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示:  

image008.png


3、泄露数量

9月份泄露的数据中包含数份数十亿三要素日志数据、数十份数十亿二要素数据、十亿条个人邮箱电话数据泄露,除上述数据外,全球整体数据泄露量达到数百亿行以上排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上

二、事件抽样分析

1、日本情报机构日本公安D查厅数据泄露

发布时间:2025.9.6

泄露数量:

售卖/发布人:FreedomSecurity1337

事件描述:2025.9.6某暗网数据交易平台有人宣称正在售卖一份日本情报机构日本公安D查厅数据。公安d查厅是日本法务省下属的主要反间谍侦察机构,成立于19527月,前身为法务省特别审查局。卖家称此份数据大小为2.3TB,文件的格式包含docjpgpdfcsvxlsxxlssqldocxjson,数据字段包含完整的员工数据,高层管理人员,董事,财务历史,收入和支出,活动,完整的雇员数据,完整的车辆数据,武器,此份数据的价格据称为20万元。

image009.png


2、巴基斯坦监狱数据库数据泄露

发布时间:2025.9.2

泄露数量:

售卖/发布人:xploitleaks

事件描述:2025.9.2某暗网数据交易平台有人宣称正在售卖一份巴基斯坦监狱数据库数据。卖家称此份数据大小为60GB,数据内容包含囚犯详细记录、囚犯犯罪原因、联系点、国籍、出生日期、监狱历史、监狱工作人员。此份数据的价格为2000美元。

image010.png


3、爱泼斯坦档案数据泄露

发布时间:2025.9.28

泄露数量:

售卖/发布人:MarlboroRed

事件描述:2025.9.28某暗网数据交易平台有人宣称正在售卖一份爱泼斯坦档案数据。作者称此份数据是完整的爱泼斯坦档案,包括照片、刑事诉讼、电子邮件等。

1761034678674528.png


4、美国国F部数据泄露

发布时间:2025.9.20

泄露数量:

售卖/发布人:Abwehr1503

事件描述:2025.9.20某暗网数据交易平台有人宣称正在售卖一份美国DARPA研发的下一代激光武器的资料,包括蓝图和研究内容,超过一千份文件。此份数据的大小超30GB,售价为10万美元。数据内容包括美国相关国家实验室的机密数据。

1761034715689984.png


5、美国选民数据泄露4亿条

发布时间:2025.9.16

泄露数量:

售卖/发布人:Databot

事件描述:2025.9.16某暗网数据交易平台有人宣称正在售卖一份美国选民数据。卖家称此份数据共4亿条,包含的数据字段有姓名、邮箱、地址、电话、银行卡号、ssn号码、出生日期等。

image013.png


6、****数据泄露3亿条

发布时间:2025.9.1

泄露数量:150,000,000

售卖/发布人:R**a

事件描述:2025.9.1某暗网数据交易平台有人宣称正在售卖一份快****数据。卖家称此份数据大小为49GB,去重后大小为10.4GB,约有1.5亿用户,此份数据价格为699美元,包含的数据字段有姓名/昵称、电话、地址、订单内容等。

1761034776957562.png


7、*****保险数据泄露

发布时间:2025.9.16

泄露数量:100,000

售卖/发布人:8*****7

事件描述:2025.9.16某暗网数据交易平台有人宣称正在售卖一份太*****保险数据。卖家称此份数据共10万条,价格为550美元,包含的数据字段有姓名、手机号、身份证号、地址等。

1761034792449216.png


8、******信息科技有限公司数据泄露

发布时间:2025.9.15

泄露数量:20,000,00

售卖/发布人:UFO

事件描述:2025.9.15某暗网数据交易平台有人宣称正在售卖一份上******信息科技有限公司数据。卖家称此份数据共200万条,数据字段包含姓名、电话、城市、地区、街道等。

image016.png


9、东方日*****能源有限公司数据泄露

发布时间:2025.9.11

泄露数量:

售卖/发布人:F_more

事件描述:2025.9.11某暗网数据交易平台有人宣称正在售卖一份东方日*****能源有限公司数据。卖家称此份数据大小为1.6TB,共536580个文件并附上了文件目录。

image017.png


10、*****店数据泄露

发布时间:2025.9.7

泄露数量:21,940,000

售卖/发布人:A****7

事件描述:2025.9.7某暗网数据交易平台有人宣称正在售卖一份云*****店数据。卖家称此份数据共2194万条,此份数据的价格为20美元,包含的数据字段有姓名或用户名、手机号、地址等。

image018.png


三、勒索软件和黑客组织

1、活跃商业黑客组织综述

20259月全球活跃的商业黑客组织(有勒索发布行为)共56个,公开的勒索事件共599件,TOP 10的黑客组织如下所示:

image019.jpg


TOP 10的商业黑客组织公开发布的勒索事件占全部事件的67%,如下所示:

image020.png


2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所减少),整体活跃度趋势正在逐步趋于稳定,统计末端(20259月)达到一年前统计前端(202410月)的109.1%

image021.png


随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPTFraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:


image022.png


3、本月典型事件说明

由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:

微信图片_2025-10-21_163821_214.png

1)巴拿马经济财政部

商业黑客组织INC2025.9.5公布了巴拿马经济财政部被勒索的信息。巴拿马经济财政部未按照黑客组织INC的要求支付赎金,截至本篇报告发出之时,黑客组织INC尚未发布更多关于巴拿马经济财政部的数据。

1761035001631568.png


2)美国宾夕法尼亚州总检察长办公室

商业黑客组织INC2025.9.21公布了美国宾夕法尼亚州总检察长办公室被勒索的信息。美国宾夕法尼亚州总检察长办公室未按照黑客组织INC的要求支付赎金,截止本篇报告发出之时,黑客组织INC已发布更多关于美国宾夕法尼亚州总检察长办公室的数据。

image024.png


3)美国北卡罗来纳州瓦克斯霍镇政府

商业黑客组织Qilin2025.9.25公布了美国北卡罗来纳州瓦克斯霍镇政府被勒索的信息。美国北卡罗来纳州瓦克斯霍镇政府未按照黑客组织Qilin的要求支付赎金,截止本篇报告发出之时,黑客组织Qilin尚未发布更多关于美国北卡罗来纳州瓦克斯霍镇政府的数据。

image025.png


4、本月涉及中国企业的勒索事件说明

在当今数字化时代,网络安全问题日益突出,勒索软件袭击已成为全球范围内的一大威胁,中国也不例外。近年来,我国频繁发生的勒索软件事件已经引起了广泛关注,但我们仍需进一步重视起来,以防范这一威胁。勒索组织的攻击手段日益多样化,其针对性强、隐蔽性高,一旦遭受攻击,可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户,都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明:

微信图片_2025-10-21_163842_2101.png

5、典型黑客组织简介(World Leaks

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有:Lockbit3RoyalPlayRhysidaAlphv8baseHunters InternationalBianLianAkiraCactusAbyss-DataBlack SuitArcus Mediaspace bearkillsecfogFunksecBabuk-BjorkaHellcatBabuk2NightSpireDragonforceHandalaD4RK4RMYWarlock 如需了解请翻阅往期报告。

本期为您介绍的是World Leaks黑客组织。World Leaks是一个高度活跃的数据勒索组织,其前身是臭名昭著的Hunters International勒索软件团伙。该组织于2025年初完成品牌重塑,从传统的“加密-勒索”模式彻底转型为专注于“纯数据勒索”。这一战略转变旨在规避全球执法打击和日益复杂的防御体系,通过放弃加密环节来降低风险,并简化作案流程。

World Leaks将自身定位为“勒索即服务”(EaaS)平台,继承了Hunters International的全球影响力与技术能力,而Hunters International又被认为与已被摧毁的Hive勒索软件团伙有密切代码关联。

World Leaks的目标范围极其广泛,采取机会主义的非特定性攻击策略,瞄准北美、欧洲、亚洲等地的金融、医疗、制造、技术和教育等关键行业,以最大限度地获取赎金。其转型后的重大攻击事件包括声称对瑞士银行巨头UBS供应商Chain IQ的数据泄露负责,导致 13万员工敏感信息外泄,以及窃取科技巨头Dell超过1.3TB的内部数据,这些案例均彰显了其强大的供应链渗透能力和对高价值目标的持续威胁。

World Leaks的作案手法是高度职业化和多阶段的。攻击流程始于初始访问,通常利用网络钓鱼、被盗的远程桌面协议(RDP)凭证或公共应用程序漏洞进行渗透。一旦进入网络,他们会利用Mimikatz等工具进行凭证转储,并使用PsExecAnyDesk等合法工具进行横向移动和权限升级。

其核心武器是名为Storage Software的定制工具,专门用于从WindowsLinux系统中高效地窃取数据。该组织设计的EaaS平台具备强大的心理施压能力,它包含一个公开的数据泄露网站(DLS)和一个私密的谈判平台,以及一个供记者查看证据的“内部人”平台。在谈判中,攻击者会利用其窃取证据的“选择性曝光”,配合公开泄露数据的倒计时,对受害者施加巨大的心理杠杆和声誉压力,迫使他们在面临彻底公开的威胁下迅速支付赎金。这种精密的运营模式和专注于数据盗窃的策略,使World Leaks成为当前网络安全领域最需要警惕的威胁之一。

下图为World Leaks运营的官网:


image026.png


在其运营的官网上有新闻板块用以发布他们的通知:


image027.png


World Leaks支持记者注册以获取第一手勒索信息:


image028.png


四、匿名社交社群

9月份监控到匿名社交社群情报总数量97,950,702 条,提供的有效数据泄露样例下载6,424份。涉及到我国数据泄露的内容包括:网购信息、保险信息、学生信息、就医信息、打车信息、退休人员信息、医护信息、车主信息、网贷信息、银行客户信息、投资信息等众多类型。以下随机选取展示部分样本:


image029.png
image030.png
image031.png
image032.png


据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。

此外,检索到9月份使用匿名社交软件的活跃用户中,以“86(我国区号)”开头的手机号共发信息93,363 条。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下为9月份使用“86”开头的手机号的TOP 10信息:

image033.png


*如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 dw@dwcon.cn 与我们联系。

报告下载:

1020【数世咨询】全球数据泄露态势月度报告(2025.9)-.pdf