本报告由数世咨询 & 零零信安 共同发布，本期报告的统计区间2026年1月。

一、数据泄露市场

2026年1月共监控到全球DWM（Dark Web Market）情报：

• 深网和暗网有效情报139,952份；

• 泄露数据的高价值买卖情报7,723份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据1,294份，其他数据泄露较多的国家还包括法国、印度、俄罗斯、泰国、英国、中国等。详情如下图所示： 

2、行业分类

1月份行业属性数据占泄露数据总量约96%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军和社会、文体娱乐业、批发零售业等。4%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、 泄露数量

1月份泄露的数据中包含数份数十亿三要素日志数据、数十份数十亿二要素数据、十亿条个人邮箱电话数据泄露，除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、法国航空安全局（OSAC）数据泄露

发布时间：2026.1.30

泄露数量：100,000

售卖/发布人：LAPSUS-GROUP

事件描述：2026.1.30某暗网数据交易平台有人宣称正在售卖一份法国航空安全局（OSAC）数据，卖家称此份数据共10万条，数据大小为420GB，卖家称此份数据包括：护照、身份证、政府邮件、与法航、达索、空客、波音等合作记录。

2、美国联邦调查局数据泄露

发布时间：2026.1.24

泄露数量：13,055

售卖/发布人：m

事件描述：2025.11.24 某暗网数据交易平台有人宣称正在售卖一份美国联邦调查局数据。卖家称此份数据共13055条，数据字段包含用户名、邮箱地址、IP 地址、地理位置、时区、密码、登录密钥、姓名、职位、电话号码等，此份数据的价格为400美元。

3、美国BD家族数据泄露

发布时间：2026.1.20

泄露数量：

售卖/发布人：0BITS

事件描述：2026.1.20某暗网数据交易平台有人宣称正在售卖bd家族数据，该数据是邮件遭遇数据泄露所致。卖家称此份数据完整大小为4.5GB，压缩后部分文件大小为361.6MB、解压后为3.9GB，文件类型为EML，数据字段包含全名、邮箱、IP 地址、域名、加密密钥等字段。

4、美国国防部CATyulei手册泄露

发布时间：2026.1.10

泄露数量：

售卖/发布人：jrintel

事件描述：2026.1.10某暗网平台有人宣称泄露美国国防部保密级CATyuelei操作手册，卖家称此次泄露的文件为2份演示文稿、1份草稿文档，包含美国国防相关的技术文档与装备设计资料。

5、印度和以色列的绝密地对空导弹文件泄露

发布时间：2026.1.10

泄露数量：

售卖/发布人：jrintel

事件描述：2026.1.10某暗网数据交易平台有人宣称正在售卖一份印度与以色列联合研制的绝密级地对空导弹相关文档。卖家称此份数据为1份 PDF 文件，包含地对空导弹的核心技术参数、设计方案等涉密内容。

6、*****行政部门数据泄露

发布时间：2026.1.29

泄露数量：36,365

售卖/发布人：OpenBullet

事件描述：2026.1.29某暗网数据交易平台有人宣称正在售卖一份*****行政部门数据的数据。卖家称此份数据共36365条。

7、莱芜泰******公司数据泄露，于山***科技合作项目

发布时间：2026.1.29

泄露数量：

售卖/发布人：SnowSoul

事件描述：2026.1.29某暗网数据交易平台有人宣称正在售卖一份莱芜泰******有限公司数据，卖家称此份数据为和山***大省科技合作项目的预算明细，大小共75GB。

8、中国*****院数据泄露

发布时间：2026.1.25

泄露数量：138,000,000

售卖/发布人：Bjdrllddnu7

事件描述：2026.1.25某暗网数据交易平台有人宣称正在售卖一份中国*****院数据泄露，卖家称此份数据库原始大小为325GB，导出大小为188GB，共约1.38亿行数据，数据字段包含基因组、筛选信息、表观遗传数据、单细胞数据、三维基因组结构及单核苷酸多态性（SNP）信息等。

9、志*****汇数据泄露

发布时间：2026.1.24

泄露数量：92,700,000

售卖/发布人：wz

事件描述：2026.1.24某暗网数据交易平台有人宣称正在售卖一份来自志*****汇的数据。卖家称此份数据共92700000行，数据列表为 abc，数据字段包含姓名、身份证号、手机号、电子邮箱、所在城市、政治面貌、所属部门等，此份数据的价格为750美元。

10、中国*****社数据泄露

发布时间：2026.1.24

泄露数量：5,900,000

售卖/发布人：hulky

事件描述：2026.1.24某暗网数据交易平台有人宣称正在售卖一份中国*****社泄露的数据。卖家称此份数据共5900000条，数据字段包含姓名、电话、国民身份证号、保险公司、地址、性别、归属省份、归属城市、运营商、出生年月日、身份证归属省市、订单号、用户 ID、产品 ID、风险 ID、保费、保额、供应商名称等。 

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2026年1月全球活跃的商业黑客组织（有勒索发布行为）共50个，公开的勒索事件共 714 件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的68%，如下所示：

2、黑客组织活度趋势

 下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2026年1月）达到一年前统计前端（2025年2月）的70.4%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

1) 美国神盾战斗系统

商业黑客组织0apt在2026/1/30公布了美国神盾战斗系统被勒索的信息。宙斯盾作战系统是美国海军及六个国际盟国的水面作战系统，是美国研制装备的一种自动化指挥作战系统，既可防御作战也可反击进攻，是世界上装备的先进舰载防空和反导弹系统。截止本篇报告发出之时，黑客组织0apt尚未发布更多关于美国神盾战斗系统的数据。

2) 美国佐治亚书记管理局

商业黑客组织OSIRIS在2026/1/11公布了美国佐治亚书记管理局被勒索的信息。美国佐治亚书记管理局是佐治亚州高等法院书记员合作机构搜索系统的网站，提供佐治亚州各种类型的申报在线访问，如统一商法（UCC）、契约、留置权和地籍图。美国佐治亚书记管理局未按照黑客组织OSIRIS的要求支付赎金，截止本篇报告发出之时，黑客组织OSIRIS尚未发布更多关于美国佐治亚书记管理局的数据。

3) 法国敦刻尔克镇

商业黑客组织Lynx在2026/1/6公布了法国敦刻尔克镇被勒索的信息。法国敦刻尔克镇是法国上法兰西大区北部省的一个小镇，法国敦刻尔克镇未按照黑客组织Lynx的要求支付赎金，截止本篇报告发出之时，黑客组织Lynx尚未发布更多关于法国敦刻尔克镇的数据。

4、本月涉及中国企业的勒索事件说明

  在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

5、典型黑客组织简介（Anubis）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka、Hellcat、Babuk2、NightSpire、Dragonforce、Handala、D4RK4RMY、Warlock、World Leaks、sinobi 、Interlock、Qilin如需了解请翻阅往期报告。

本期为您介绍的是Anubis黑客组织，Anubis（阿努比斯）是一个新兴的勒索软件黑客组织，目前被认为是2024年底至2025年期间网络犯罪领域最激进、最具破坏性的团伙之一。

Anubis于2024年11月至12月间首次被观察到，该组织采用双重勒索策略：先通过钓鱼邮件、漏洞利用或其他初始访问向量窃取数据，然后部署加密器（结合可选的破坏性擦除功能），并在暗网泄露站点威胁公开数据以施压受害者。该组织以RaaS（Ransomware-as-a-Service）模式运营，提供多个附属程序（分成比例50%-80%不等）。

该程序技术较为激进，能跨平台攻击Windows、Linux、NAS和ESXi系统，部分变体内置“wipe mode”模块，该模块可永久擦除文件，即使支付赎金也无法恢复，这极大的增加了受害者压力。攻击链常从社会工程（如恶意附件）、凭证窃取或漏洞利用开始，随后横向移动并部署加密负载。

有些安全研究员认为其可能从Sphinx演变而来，或受俄罗斯语系犯罪团伙的影响，共享了部分战术特征，使它与其它RaaS有了几分相似之处。

截至2026年初，Anubis已声称多个受害者，主要针对北美、欧洲、澳大利亚、加拿大、秘鲁等地区，重点行业包括医疗保健、酒店、建筑、工程、专业服务及关键基础设施，常造成数据永久丢失风险、运营中断和监管合规问题。

下图为Anubis所运营的数据泄露网站：

下图为Anubis网站上的“勒索名单”模块：

下图Anubis为对自己的介绍以及运营网站上的“帮助”模块：

Anubis留有邮箱供合作伙伴联系：

如勒索不成，会把他们获取到的全部受害者数据上传到他们运营的数据泄露网站上：

四、匿名社交社群

1月份监控到匿名社交社群情报总数量12,271,362条，提供的有效数据泄露样例下载12,709份。涉及到我国数据泄露的内容包括：快递信息、银行信息、学生信息、就医信息、打车信息、退休人员信息、医护信息、车主信息、网贷信息、投资信息等众多类型。以下随机选取展示部分样本：

据仅为在匿名社交社群中，攻击者展示的样例数据，每份样例会提供数十至数百条不等。即：匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右，全数据量估算在1000万条以上。

此外，检索到1月份使用匿名社交软件的活跃用户中，以“86（我国区号）”开头的手机号共发信息5,349条。使用匿名社交软件的用户，不会受到实名监管，其目的性值得考虑。以下为1月份使用“86”开头的手机号的TOP 10信息： 

注：本篇内容中的数据均为暗网交易平台卖家宣称内容，数据真实性、实际泄露范围未经过权威核实，仅作为网络安全风险态势分析参考，不构成事实认定依据。

* 如果您对《数据泄露态势月度报告》有任何问题或意见，包括引用、指正或合作，请通过电子邮件 dw@dwcon.cn 与我们联系。

0212【数世咨询】全球数据泄露态势月度报告（2026.02）.pdf