《数据泄露态势月度报告》(2023年9月)

攻击溯源
7月前

c86.jpeg

本报告由 数世咨询 & 零零信安 共同发布

  在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。

  为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。本期报告的统计区间为2023年8月。

01 数据泄露概况


  ● 2023年8月共监控到全球暗网、深网情报2,293,202份。其中,泄露数据交易情报38,045份,清洗、去重后的有效数据泄露情报7,941份。
  ● 本月度监测到数起超十亿行的二要素个人数据泄露,全球整体数据泄露量达到近百亿行。排除该类数据泄露,具有明确泄露源的非二要素数据泄露约为5-7亿行。

01.png

1 按国别分类

  其中美国是数据泄露第一大国,共泄露数据1,498份,其他数据泄露较多的国家还包括:中国、法国、英国、意大利、印度、德国、巴西、俄罗斯等。详情如下图所示:

02.png

  在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。

2 按行业分类

  8月份行业属性数据占泄露数据总量约30%左右,泄露的行业数据主要包括:信息和通信行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、政府和军队等。70%左右的泄露数据无明显行业属性,包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示:

03.png

02 重大事件抽样分析


1 美国教育部数据泄露

涉及国家:美国
发布时间:2023.8.17
泄露数量:27,000,000
售卖/发布人:CyberNiggers
事件描述:2023.8.17某暗网数据交易平台有人宣称获取并出售美国教育部整个数据库,总量为2700万条,并提供了样例数据。样例数据中显示,该数据库包含用户名、手机号、类型、主题、反馈等字段。

04.png

2 伊拉克情报局数据泄露

涉及国家:伊拉克
发布时间:2023.8.28
泄露数量:22,356,634
售卖/发布人:0BITS
事件描述:2023.8.28某暗网数据交易平台有人宣称获取并出售伊拉克情报局数据,总量为2000余万条(15.7GB),并提供了样例数据。样例数据中显示,该数据库包含姓名、地址、身份证、工作、工资等字段。值得注意的是,该售卖者有明显的政治或个人偏好,其在同一平台上还发布和出售科索沃公民数据、卡塔尔司法部、伊拉克内政部等泄露的数据。

05.png

3 南非国防部数据泄露

涉及国家:南非
发布时间:2023.8.28
泄露数量:1.6TB
事件描述:2023.8.28某暗网数据交易平台有人宣称获取并出售南非国防部数据,总量为1.6TB,并提供了样例数据。样例数据中显示,该数据库包含南非各级军官联系方式,包括姓名、电话、邮箱等字段。 

06.png

4  ETF数据公司(VettaFi)数据泄露

涉及国家:美国
发布时间:2023.8.29
泄露数量:60,000,000
事件描述:2023.8.29某暗网数据交易平台有人宣称获取并出售ETF数据公司(VettaFi)数据,该公司是一家金融服务数据公司。泄露数据总量为6000万条记录和27万用户数据,记录数据包含从上世纪90年代以来的股票交易记录,用户数据包括用户数据、合作伙伴和资产评估等数据,并提供了大量样例数据。

07.png

5 安哥拉国家石油公司数据泄露

涉及国家:安哥拉
发布时间:2023.8.24
泄露数量:210GB
事件描述:2023.8.24某勒索软件组织在暗网数据交易平台发布了从安哥拉国家石油公司窃取的210GB数据,并提供免费下载。黑客宣称安哥拉国家石油公司没有按照其要求的72小时内进行回复和缴纳勒索金额,所以将窃取的所有数据免费开放下载,以提供给勒索对象的供应商、承包商、员工和一切需要该数据的人。值得注意的是,我国与安哥拉国家石油公司也有合作与战略签约。

08.png

6  ***购物快递数据泄露

发布时间:2023.8.29
泄露数量:1,000,000
售卖/发布人:y*********9
事件描述:2023.8.29某暗网数据交易平台有人宣称出售***购物快递数据,总量为100万,并提供了数十条样例数据。样例数据中显示,该数据库包含平台、品类、采购商品、价格、买家姓名、手机号、地址、快递单号、快递公司等字段,数据最晚更新时间为2023年3月。该数据提供了售卖价格100美元。

09.png

7  **部数据库4.79亿泄露(伪造)

发布时间:2023.8.19
泄露数量:479,082,385
售卖/发布人:ChinaLeak
事件描述:2023.8.19在某暗网数据交易平台中有卖家宣称出售中国安全部数据库4.79亿条,经零零信安研究员核验,该售卖贴中的数据均为无价值数据,其为2023年7月在同一论坛上以“中国客户数据 - 2023”的名义转储的数据样本稍加修改而来,只包含部分中国企业数据,该售卖信息为伪造数据并进行诈骗

10.png

11.png

8  **习通1.4亿数据泄露

发布时间:2023.8.5
泄露数量:140,000,000
售卖/发布人:4*******8
事件描述:2023.8.5某暗网数据交易平台有人宣称出售**习通客户数据,总量为1.4亿,并提供了数十条样例数据。样例数据中显示,该数据库包含姓名、手机号、身份证、机构等字段,据售卖人提供的消息,其为**习通2019-2022年的客户数据。该数据提供了售卖价格49.99美元。值得说明的是,该数据早些时候(7月份)以20美元在同一平台被出售。另外,**习通曾在2022年被指出存在1.7亿客户数据泄露,当时该公司发表声明澄清“其不存储用户明文密码,采取单向加密存储,理论上用户密码不会泄露,网上传言密码泄露是不实的,收到用户数据疑似泄露的消息后,公司已连续技术排查十余小时,暂未发现明确的用户信息泄露证据,公安机关已介入调查。”

12.png

9  ***培训机构数据泄露

发布时间:2023.8.17
泄露数量:20,000
售卖/发布人:1********5
事件描述:2023.8.17某暗网数据交易平台有人宣称出售***青少年英语客户数据,总量为2万,并提供了数十条样例数据。样例数据中显示,该数据库包含手机号、所在城市、父母及子女信息等字段。该数据提供了售卖价格50美元。

14.png

10  ***保险10万数据泄露

发布时间:2023.8.21
泄露数量:100,000
售卖/发布人:s***l
事件描述:2023.8.21某暗网数据交易平台有人宣称出售2022年***保险客户数据,总量为10万,并提供了数十条样例数据。样例数据中显示,该数据库包含产品名称、投保金额、姓名、身份证、手机号、邮箱、地址、收入等字段。该数据提供了售卖价格34美元。

14.png

03 勒索软件和黑客组织


1 活跃商业黑客组织TOP 10

  近1年(2022年9月-2023年8月)全球活跃的商业黑客组织(有勒索发布行为)共62个,公开的勒索事件共4,031件,TOP 10的黑客组织如下所示:

15.png

  TOP 10的商业黑客组织公开发布的勒索事件占全部事件的73%,其主要攻击目标为金融、能源、运营商、政府等关键基础设施行业,以及高科技和IT企业。如下所示:

16.png

2 黑客组织活度趋势

  下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强,但整体活跃度趋势正在逐步增加,统计末端(2023年8月)已比统计初始(2022年9月)增加了253%:

17.png

  随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,如下图所示:

18.png

3 本月黑客组织行动

  本月共监控到全球30个商业黑客组织进行了行动,共公开了631起事件。最活跃的黑客组织是Clop和Lockbit3,分别发布了237和124起事件,如下所示:

19.png

  由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取不同组织的样例事件,并对其中1-2个事件进行细节说明:

事件

国家

时间

黑客组织

New York & Company

美国

2023/8/31

akira

cm.gov.nc.tr

土耳其

2023/8/29

Lockbit3

stshcpa.com.tw

中国台湾省

2023/8/28

cloak

Shanghai *** Research ***., Ltd.

中国

2023/8/27

8base

Cncb***tional.com

中国

2023/8/20

Clop

ftria.co.jp

日本

2023/8/15

noescape


4 本月典型事件说明

  本月最活跃的商业黑客组织Clop在月中左右攻击了我国**信银行(国际),对其进行加密勒索和数据窃取,并于2023.8.20将其公布在互联网上。

  Clop对企业进行攻击和勒索,并在其官网进行声明:

在我们公布了许多公司的名称和证据,我们有他们的秘密和数据。有些公司没有加快速度,决定保持沉默。我们是非常合理的运营商,在适当的情况下,我们提供大幅折扣,以阻止您的数据被出售和发布。建议您联系我们并开始讨论如何阻止数据的公开。8月15日,我们开始公布名单上所有未联系的公司。您的数据将在明网和暗网上发布。对于大公司,我们还创建明网的URL链接来帮助谷歌为您的数据编制索引。此外,所有数据均提供下载,下载速度非常快。你无处可逃!


  我国该企业并未因受其威胁而妥协,但随之遭受其报复:

20.png

  Clop不仅加密了该企业的系统和数据,公布了其信息,还将窃取到的全部数据发布在互联网上供所有访问者免费下载。

■ 对该类事件,本文分析员的观点和立场如下:

1坚决支持对勒索软件和黑客组织说“NO!”

2、企业CISO仍应加强自身安全建设,防止该类事件带来的损失;

3、我们将与某些公益组织合作,为受到勒索和黑客组织攻击的单位提供免费技术支持,该计划预计在近期内上线。


5 典型黑客组织简介(Lockbit3)

  由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。

  Lockbit是世界上最活跃的黑客组织之一,其产品Lockbit3.0勒索软件即服务(RaaS)是目前世界上最多产的勒索软件。该组织在攻击时采用了多项ATT&CK框架技术,主要包括:

21.png

22.png

   Lockbit3在成功入侵、加密、窃取、勒索某企业时,通常会留下以下信息:


23.png

~~~ LockBit 3.0 是世界上最快、最稳定的勒索软件~~~

>>>>>您的数据被盗并被加密。

如果您不支付赎金,数据将发布在我们的 TOR 暗网网站上。请记住,一旦您的数据出现在我们的泄漏网站上,您的竞争对手随时都可能购买它,所以不要犹豫很长时间。您越早支付赎金,您的公司就越早安全。

>>>>> 有什么保证我们不会欺骗你?

我们是地球上最古老的勒索软件联盟计划,没有什么比我们的声誉更重要。我们不是一个有政治动机的团体,我们只想要钱。如果您付款,我们将为您提供解密软件并销毁被盗数据。支付赎金后,您将很快赚更多的钱。将这种情况简单地视为对系统管理员的付费培训,因为这是由于您的公司网络配置不正确,我们才能攻击您。我们的渗透测试服务应该像您支付系统管理员的工资一样支付。克服它并为此付出代价。如果我们在您付款后不给您解密器或删除您的数据,将来没有人会向我们付款。

  如勒索失败,该组织会在其官网发布新闻,并将该新闻通报到公共媒体和社交平台,以损害被勒索企业的信誉度: 

24.png

  并在该组织搭建的文件服务器上释放窃取的文件,以供访问者免费下载,以下为示例: 

25.png

04 匿名社交社群


  8月份监控到匿名社交社群情报总数量37,209,690条,提供的有效数据泄露样例下载858份。涉及到我国数据泄露的内容,包括:银行、保险、贷款、航空、微信好友、工商信息、公积金、购房信息、社保信息、医生和护士信息、教师和学生信息、网购等众多类型。

  以下随机选取展示部分样本:

26.png

27.png

28.png

  以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,其背后的全数据量将更加触目惊心。

  此外,检索到8月份使用匿名社交软件的活跃用户中,以“13”开头的手机号330个,以“18”开头的手机号4331个。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下分别为8月份使用“13”和“18”开头的手机号的TOP 10信息:

29.png

  * 如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 dw@dwcon.cn 与我们联系。

— 【 THE END 】—