2026年4月，全球数据泄露的规模让很多从业者感到不安。

据数世咨询与零零信安联合发布的《全球数据泄露态势月度报告（2026年4月）》，单月深网和暗网有效情报超过12万份，高价值泄露数据买卖情报近6500份。数十亿行数据在暗网流通——这不是演习，是4月的常态。

谁在裸泳？这才是4月报告最值得回答的问题。

一、美国继续领跑，中国企业勒索事件不容忽视

美国仍然是数据泄露的第一大国，4月共监控到数据泄露683份，比第二名高出数倍。庞大的数字经济体量带来的暴露面，让美国成为全球黑客组织的"主战场"。

但有一个数字对中国读者更有参考价值：4月全球活跃商业黑客组织共57个，公开勒索事件789件。TOP 30黑客组织发布的勒索事件占总量的93%——整个勒索软件生态正在高度集中，攻击能量掌握在少数组织手里。

本月涉及中国企业的勒索事件共26起，分布在制造业、金融业、批发零售业、居民服务业等多个行业。

二、制造业：勒索最"优质"的猎物

从泄露数据的行业分布来看，4月行业属性数据占泄露总量约90%。金融、信息和互联网、建筑房地产、文体娱乐、教育依次是重灾区。

但如果只看勒索软件攻击的受害者，制造业的处境比数字看起来更危险。26起涉中国勒索事件中，制造业独占10起，是最集中的受害行业。

原因不复杂：制造业的数字化转型带来了大量OT与IT系统的连接，但许多企业的安全能力建设明显落后于数字化进度。工控系统老旧、安全预算有限、员工安全意识薄弱——在RaaS生态面前，这些软肋等同于门户洞开。

更关键的是，制造业企业支付赎金的意愿和能力都高于平均水平。停工一天意味着数十万乃至更高的生产损失，数据恢复的紧迫感让很多企业选择直接付款。这条逻辑让制造业成为勒索软件组织眼中"优质"的猎物。

三、RaaS生态成熟化：攻击门槛已接近零

理解4月数据泄露规模激增，必须看清一个结构性变化：勒索软件的攻击门槛已经低到令人警惕。

当前主流商业黑客组织几乎全部采用RaaS（Ransomware-as-a-Service）模式：总部负责恶意软件开发、漏洞管理和品牌运营，各地的"附属机构"负责攻击执行。工具开箱即用，收入按比例分成。一个技术能力有限的攻击者，只要付费加入某个RaaS组织，就能获得完整的勒索能力。

这条产业链的效果在4月数据中体现得很清楚：TOP 10黑客组织几乎垄断了勒索发布的主要声量，2025-2026年间整个生态呈现明显的"精英化、小型化、自动化"趋势。WormGPT、FraudGPT等AI工具的加入，让情报搜集、目标筛选、邮件钓鱼等环节的效率大幅提升。

4月黑客组织活跃度已恢复至一年前水平的93.6%——在经历一段时间波动后，勒索软件生态正在重回高位运行。

在这条活跃曲线的背后，ShinyHunters是近期最值得关注的组织之一。该组织从2020年开始活跃，采用"数据窃取+勒索"双轨模式，技术能力涵盖语音钓鱼、OAuth令牌窃取、供应链攻击、0-day漏洞利用、AI辅助社会工程等高阶手法，已声称对全球教育、零售、金融、航空等关键行业的头部企业发动攻击，其中单次事件最高影响数亿条记录。

四、暴露面认知滞后：大多数裸泳者不知道自己正在裸泳

回到开头的问题：谁在裸泳？

4月的报告给出了一个令人不安的答案——大多数被淹的人不知道自己正在被淹。

报告的监控范围涵盖明网、深网、暗网、匿名社交社群等约10万个威胁源。仅匿名社交社群一项，4月就监控到情报总量超过1037万条，涉及中国的数据泄露样例下载约6244份。这些数据涵盖快递信息、银行信息、学生信息、就医信息、网贷信息、车主信息等数十种类型。

而这些泄露的发现方式，绝大多数是攻击者在暗网或匿名社群主动发布或售卖——企业自己发现的案例，少之又少。

换句话说：大量企业的数据已经被打包在暗网上叫卖了，他们还完全不知情。

这不是"有没有被攻破"的问题，而是"攻破了多久了还不知道"的问题。

* 如果您对《全球数据泄露态势月度报告》有任何问题或意见，包括引用、指正或合作，请通过电子邮件 dw@dwcon.cn 与我们联系。