《全球数据泄露态势月度报告》（2025年11月）| 附下载地址

数据泄露

1天前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据作为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2025年11月。

一、数据泄露市场

2025年11月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报436,427份；
泄露数据的高价值买卖情报6,889份。

1、国家分类

根据暗网宣称的数据泄露事件中，涉及美国的相关情报数量最多，共泄露数据1489份，其他数据泄露较多的国家还包括中国、印度、法国、泰国、印尼、马来西亚等。详情如下图所示：

2、行业分类

11月份行业属性数据占泄露数据总量约94%左右，泄露的行业数据主要包括金融行业、公共管理与社会服务领域、信息和互联网行业、批发零售业、交通仓储业等。6%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

11月份泄露的数据中包含数份数十亿三要素日志数据、数十份数十亿二要素数据、十亿条个人邮箱电话数据泄露，除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、**IS数据泄露

发布时间：2025.11.7

泄露数量：

售卖/发布人：jrintel

事件描述：2025.11.7某暗网数据交易平台有人宣称正在售卖一份某恐怖主义相关势力的非法数据在暗网被宣称售卖，相关数据涉嫌窃取主权国家政府系统信息。此外，此作者还发布了巴基斯坦 ISI（巴基斯坦中央情报局）领导人个人信息数据。

2、伊朗海军数据泄露

发布时间：2025.11.2

泄露数量：1,500

售卖/发布人：Nikolai699999

事件描述：2025.11.2某暗网数据交易平台有人宣称正在售卖一份伊朗海军数据。卖家称此份数据共1500条，包含的数据字段有姓名、邮箱、出生日期等。

3、巴勒斯坦国民警卫队数据泄露

发布时间：2025.11.8

泄露数量：300,000

售卖/发布人：BlackMatrix

事件描述：2025.11.8某暗网数据交易平台有人宣称正在售卖一份巴勒斯坦国民警卫队数据。作者称此份数据共30万条，数据字段包含任务状态,事件编号,省/行政区,人口聚集区,地点标签,纬度,经度,事件类型,事件详细类型,事件性质,联系方式,报案时间,联系单位,事件描述等。

4、美国国税局数据泄露

发布时间：2025.11.10

泄露数量：56,000,000

售卖/发布人：q*******5

事件描述：2025.11.10某暗网数据交易平台有人宣称正在售卖一份美国国税局数据。卖家称此份数据共5600万条，数据字段包含姓名、邮箱、手机号、地址、财务信息等，此份数据的价格为2000美元。

5、三星数据泄露

发布时间：2025.11.13

泄露数量：

售卖/发布人：888

事件描述：2025.11.13某暗网数据交易平台有人宣称正在售卖一份三星数据。卖家称此份数据是从某承包商的数据泄露事件中提取了影响三星部分的数据，此份数据的数据字段包含源代码、私钥、SMTP 凭据、配置文件、硬编码凭据和用户 PII（来自医疗保健备份）。

6、云象优*****数据泄露

发布时间：2025.11.6

泄露数量：91,000,000

售卖/发布人：CC-GuRu

事件描述：2025.11.6某暗网数据交易平台有人宣称正在售卖一份云象优*****数据。卖家称此份数据共9100万条，数据字段包含姓名、手机号、学历、房产情况、车产情况等，此份数据的价格为350美元。

7、中*****银行客户数据泄露

发布时间：2025.11.12

泄露数量：3,000

售卖/发布人：583108

事件描述：2025.11.12某暗网数据交易平台有人宣称正在售卖一份中*****银行客户数据。卖家称此份数据共3000条，数据字段包含姓名、电话、手机号、贷款金额等，此份数据的价格为50美元。

8、京*****城用户数据泄露

发布时间：2025.11.11

泄露数量：150,000

售卖/发布人：s******1

事件描述：2025.11.11某暗网数据交易平台有人宣称正在售卖一份京*****城用户数据。卖家称此份数据共15万条，数据字段包含姓名、手机号、地址、购买商品详情等，此份数据的价格为15美元。

9、抖****放心*****用户数据泄露

发布时间：2025.11.20

泄露数量：4,000,000

售卖/发布人：a*******2

事件描述：2025.11.20某暗网数据交易平台有人宣称正在售卖一份抖****放心*****用户数据。卖家称此份数据共400万条，数据字段包含昵称、手机号、地址等，此份数据的价格为299美元。

10、太平*****保险用户数据泄露

发布时间：2025.11.20

泄露数量：100,000

售卖/发布人：H****H

事件描述：2025.11.20某暗网数据交易平台有人宣称正在售卖一份太平*****保险用户数据。卖家称此份数据共10万条，宣称包含用户身份标识、联系方式及业务相关敏感信息，此份数据的价格为490美元。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2025年11月全球活跃的商业黑客组织（有勒索发布行为）共55个，公开的勒索事件共723件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的63%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2025年11月）达到一年前统计前端（2024年12月）的105.7%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

事件	国家/组织	时间	黑客组织
Superintendencia Nacional de Fiscalización Laboral	秘鲁国家劳动监察局	2025/11/21	Black Shrantac
Shelbyville Police Department	美国谢尔比维尔警察局	2025/11/6	Interlock
Public Safety Mutual Benefit Fund	菲律宾公共安全互利基金	2025/11/4	Ransomhouse
J.V.D.B. & Associates Inc	美国催收机构J.V.D.B. &; Associates Inc.	2025/11/7	The Gentlemen
Blog Williamson County, TX	美国德克萨斯州威廉森县	2025/11/28	Qilin
Blog Fayette County	美国费耶特县政府	2025/11/20	Qilin
TBTEAM	危机事件监测提供商TBTEAM	2025/11/17	INC Ransom
The Union League of Philadelphia	美国费城联盟	2025/11/5	INC Ransom
AsahiKASEI MICRODEVICES akm.com	美国半导体技术制造商AsahiKASEI MICRODEVICES	2025/11/12	crypto24
Electro Mechanical Industries	美国机电工业私人有限公司	2025/11/21	akira

1) 秘鲁国家劳动监察局

商业黑客组织Black Shrantac在2025.11.21公布了秘鲁国家劳动监察局被勒索的信息。秘鲁国家劳动监察局未按照黑客组织Black Shrantac的要求支付赎金，截止本篇报告发出之时，黑客组织Black Shrantac尚未发布更多关于秘鲁国家劳动监察局的数据。

2) 菲律宾公共安全互利基金

商业黑客组织Ransomhouse在2025.11.4公布了菲律宾公共安全互利基金被勒索的信息。菲律宾公共安全互利基金是一家非股份制、非营利性互助基金协会，致力于为包括菲律宾各公共安全机构人员在内的会员提供人寿保险保障和经济援助。其服务包括专为公共安全从业人员（包括制服人员和文职人员）量身定制的各种保险计划、贷款和福利。菲律宾公共安全互利基金未按照黑客组织Ransomhouse的要求支付赎金，截止本篇报告发出之时，黑客组织Ransomhouse尚未发布更多关于菲律宾公共安全互利基金的数据。

3) 美国费耶特县政府

商业黑客组织Qilin在2025.11.20公布了美国费耶特县政府被勒索的信息。美国费耶特县政府未按照黑客组织Qilin的要求支付赎金，截至本篇报告发出之时，黑客组织Qilin尚未发布更多关于美国费耶特县政府的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

组织	所属行业	时间	黑客组织
富士*****连技术有限公司	制造业	2025/11/26	incransom
新*****業股份有限公司	制造业	2025/11/29	The gentlemen
福建***金属包装有限公司	制造业	2025/11/3	radar
上海宏***属制品有限公司	制造业	2025/11/11	sinobi

5、典型黑客组织简介（Interlock）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka、Hellcat、Babuk2、NightSpire、Dragonforce、Handala、D4RK4RMY、Warlock、World Leaks、sinobi 如需了解请翻阅往期报告。

本期为您介绍的是Interlock黑客组织。Interlock是一个新兴勒索软件团伙，于2024年9月底首次被观察到，该组织采用双重勒索策略：先通过社会工程或漏洞入侵窃取数据，然后部署加密器（文件扩展名如.interlock或.1nt3rlock），并在“Worldwide Secrets Blog”网站上威胁泄露以施压受害者。该组织不采用传统RaaS模式，而是封闭式运营，技术较为成熟，能跨平台攻击Windows、Linux和FreeBSD系统，攻击链常从drive-by下载、Lumma Stealer凭证窃取或ClickFix社会工程开始，随后使用RDP横向移动并部署NodeSnake RAT等工具。有些安全研究认为其可能是Rhysida勒索软件的衍生或分支，共享代码和战术特征，也与BlackCat/ALPHV或LockBit有相似之处。截至2025年中，Interlock至少造成35-50起攻击，攻击数量在2025年上半年显著增加，主要针对北美和欧洲地区，重点行业包括医疗保健（如Kettering Health、DaVita肾脏护理）、教育、政府市政（如美国圣保罗市导致系统瘫痪）、技术、金融、制造及国防供应链，常造成运营中断和患者安全风险。