《数据泄露态势月度报告》（2024年2月）| 附下载地址

数据泄露

2月前

本报告由 数世咨询 & 零零信安 共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年1月。

一、数据泄露市场

2024年1月共监控到全球DWM（Dark Web Market）情报：

• 深网和暗网有效情报944,007份；
• 泄露数据的买卖情报份1,447份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据396份，其他数据泄露较多的国家还包括：中国、俄罗斯、印度、法国、英国、巴西等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

2、行业分类

1月份行业属性数据占泄露数据总量约79.6%左右，泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、教育行业、医疗卫生业等。20.4%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

1月份泄露的数据中包含数份几十亿的二要素个人数据泄露，因此除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在百亿行以上。

二、事件抽样分析

1、北约重大数据泄露

发布时间：2024.1.10
泄露数量：
售卖/发布人：PremiumDB

事件描述：2024.1.10某暗网数据交易平台有人宣称正在售卖一份北约高度机密数据。据该黑客称该份数据总大小超过10GB，总价值为1亿美元，只接受比特币支付。现打折一半售价为5000万美元并且称正在寻找中间人合作商，中间人可以出售给对该数据感兴趣的组织机构或政府，出售后给予中间人利润的10%。在黑客给出的样例中包含了各种科技蓝图以及北约课程等数据，如：北约量子技术工程数据、生物技术和人类增强工程数据、北约高超音速技术工程学数据、蝎子计划、北约通讯和信息局数据、LOGFAS（北约后勤功能区服务）完整的培训文档和视频课程等等。黑客留下了自己的jabber和匿名邮箱联系方式，提到更多的细节可以通过这两个方式联系获取。

2、利比亚选举数据泄露

发布时间：2024.1.21
泄露数量：
售卖/发布人：hnec

事件描述：2024.1.21某暗网数据交易平台有人宣称正在售卖一份利比亚选举系统数据。黑客称“利比亚选举系统的所有数据可以完全访问所有资源，无论是在互联网上还是基础设施上，从语音通话系统到接收信息、所有员工的电子邮件、护照和密码，以及总统候选人的所有数据等等”。同时该黑客上传了一些图片作为该份数据的样例，该份数据被标价150,000美元，黑客还提到“如果利比亚政府购买了该份数据，我会将这篇帖子删除”。截止目前，该份数据尚未被成功出售。值得注意的是同月23日，某暗网论坛也有黑客出售价格为10,000美元的1990年至2024年出生的所有利比亚国民数据，两份数据的来源是否一样暂且未知，但从给出的样例来看两份数据的来源相似度很高。

3、美国政府承包商UICGS（UIC Government）数据泄露

发布时间：2024.1.23
泄露数量：
售卖/发布人：hnec

事件描述：2024.1.23某暗网数据交易平台有人宣称正在售卖一份美国政府承包商UICGS数据。UICGS专门为美国政府、美国陆军、美国海军等政府部门和国防事业提供技术支持。黑客称正在出售该公司2014年至2022年的数据，该份数据的总大小未知，价格为1,200美元。在黑客给出的样例中多为一些保险订单数据。

4、莫桑比克经济财政部数据泄露

发布时间：2024.1.28
泄露数量：75,221,684
售卖/发布人：CatDox

事件描述：2024.1.28某暗网数据交易平台有人宣称正在售卖一份莫桑比克经济财政部数据。黑客称该份总大小为36.2GB，总条数为75,221,684条，售卖的价格为1.1个门罗币。黑客称该数据包含了“姓氏，名字，电子邮件，电话号码，职务，介绍，性别，生日，国籍，雇主，教育，推特账号，telegram账号”等等信息。

5、法国国防部服务器数据&三星STAR系统访问权限&美国国防承包商Moog Inc访问权限售卖

发布时间：2024.1.27
泄露数量：
售卖/发布人：nimeni

事件描述：2024.1.27某暗网数据交易平台有人宣称正在售卖一份法国国防部服务器备份数据，价格为3个比特币。

发布时间：2024.1.11
泄露数量：
售卖/发布人：Naraka

事件描述：2024.1.11某暗网数据交易平台有人宣称正在售卖一份三星STAR系统访问权限，价格为10,000美元。

发布时间：2024.1.19
泄露数量：
售卖/发布人：stormstorm

事件描述：2024.1.19某暗网数据交易平台有人宣称正在售卖一份美国国防承包商Moog Inc公司访问权限，价格为19,000美元。

6、中***航空公司数据泄露

发布时间：2024.1.24
泄露数量：
售卖/发布人：stash0909

事件描述：2024.1.28某暗网数据交易平台有人宣称正在售卖一份中***航空公司数据。该数据的标价为4,000美元，泄露的字段包括“中文名，中文名字，英文名字，姓氏，名字，出生日期，电子邮件，手机号”。

7、*国***商银行数据泄露

发布时间：2024.1.31
泄露数量：30,000
售卖/发布人：champion168

事件描述：2024.1.31某暗网数据交易平台有人宣称正在售卖一份*国***商银行数据。该数据包含了总数为30,000高净值银行客户的个人信息数据，包括：姓名，电话，电话，银行卡号，身份证号等。该数据的标价为2,500美元。

8、*国招***局数据泄露

发布时间：2024.1.5
泄露数量：
售卖/发布人：WrongFuck

事件描述：2024.1.5某暗网数据交易平台有人宣称正在售卖一份*国招***局数据。黑客称此次数据共计泄露185MB大小的文件，并且附上了一些该数据的样例。目前该数据的真假性暂且未知。

9、*国*****电网和某政府部门数据泄露

发布时间：2024.1.26
泄露数量：
售卖/发布人：sinajinn

事件描述：2024.1.26某暗网数据交易平台有人宣称正在售卖一份*国*****电网和某政府部门数据。该黑客上传了一些数据的样例，但并未提及价格和数量大小。截止本篇报告编写时，该帖子已被作者删除。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年1月全球活跃的商业黑客组织（有勒索发布行为）共34个，公开的勒索事件共289件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的57%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所下降），但整体活跃度趋势正在逐步增加，统计末端（2024年1月）已达到一年前统计前端（2023年2月）的120%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃黑客组织数量达到历史新高。如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

（1）人类用水

商业黑客组织Medusa在2024.1.11公布了全球非营利组织人类用水被勒索的信息，要求该非营利组织支付30万美元的勒索费。该部门未按照勒索组织的要求在规定期限内支付赎金，Medusa在2024.1.18公布了窃取到的所有数据。

（2）SEM和特价商品

商业黑客组织8base在2024.1.12公布了螺丝制造商SEM和特价商品被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，8base在2024.1.23公布了窃取到的所有数据。

（3）IPS Securex

商业黑客组织Lockbit3在2024.1.5公布了IPS安全控股公司被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，lockbit3在2024.1.30公布了窃取到的所有数据。

■ 对该类事件，本文分析员的观点和立场如下：

（1）坚决支持对勒索软件和黑客组织说“NO！”

（2）企业CISO仍应加强自身安全建设，防止该类事件带来的损失；

（3）访问https://0.zone/DwmTab获得全部勒索事件监控

4、典型黑客组织简介（8base）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv如需了解请翻阅往期报告。

本期介绍8base勒索组织。该勒索组织自2022年4月以来一直活跃。由于其激进的策略和所声称的大量受害者而迅速声名狼藉。该集团主要针对各个行业的中小型企业 (SMB)，包括商业服务、金融、制造和信息技术进行勒索活动。该勒索组织似乎偏爱这些行业，这可能是由于这些行业的企业被认为有能力支付更高的赎金，也可能是由于其数据的性质，这些数据可能更敏感或更有价值。8Base 以其双重勒索策略而闻名。该组织威胁称，除非支付赎金，否则将公布加密文件，目的是通过暴露可能损害其品牌或声誉的私人或机密信息来让受害者难堪。使用“双重勒索”策略在勒索软件团体中变得越来越普遍，因为它给受害者支付赎金增加了额外的压力。

以下是8base的官网介绍：

——你们目前的官方新闻频道是什么？
——官方电报频道：8BASE
——官方推特账号：8BASEH0ME
——我们能和你合作吗？

——我们很乐意在这个领域找到新的联系人。因此，如果您希望我们在我们的网站上提供您的数据或参与谈判，您需要使用我们的合作电报频道与我们联系，我们对此持开放态度。请记住，我们保留拒绝违反道德和伦理原则的数据的权利。如果我们找到了共同点，团队将联系公司并为您进行谈判。协商后将对数据披露做出进一步决定，因此将通知您。重要提示：如果你是某个国家禁止的极端激进组织的成员，参与极端主义或间谍活动，我们之间的任何合作都是不可能的。你们的价值观与我们的不同：我们珍视生命、自由、平等获取信息、民主和非暴力沟通方式。如果我们意识到任何团体的极端主义活动，我们的团队不会向他们提供数据。我们不参与政治或关系。

——你们对记者或记者有特别优惠吗？

——我们高度尊重记者的工作，并认为获取信息是我们的优先事项。我们为记者提供了一个特殊的计划，包括在信息正式发布在我们的新闻网站和Telegram频道前几个小时甚至几天分享信息：您需要通过KYC程序才能申请。记者和记者如有任何问题，可以通过我们的公关Telegram频道与我们联系。

——我是你名单上一家公司的客户，成为他们不负责任地处理我的个人数据和商业秘密的受害者，我能做什么？

——首先，我们认为有必要对您受到公司对客户个人数据隐私和安全的疏忽态度的影响表示歉意。但也有好的一面，因为这让你有机会向这些公司要求赔偿。其次，如果团队决定公布包含个人信息的数据，个人可以通过我们的官方Telegram频道或公司详细信息档案中引用的专用Telegram频道与我们联系，并提出删除请求。此外，我们将在公布数据之前尝试自己这样做。因此，该团队有机会根据要求删除披露的个人信息。如果公司的状态标记为“证据”，则此选项可用。如果数据已发布，则此选项不再适用。根据可用的数据量，每个项目收到申诉后，将删除多达10000个数据集。这将免费为您提供，此外，我们将提供您的数据集，您可以在诉讼中使用这些数据集来补偿对您造成的损害。

——如果我的公司在你的名单上，我该怎么办？

——如果您的公司在我们的名单上，并且其状态为“已披露”，则所有数据都已公开。如果公司的状态为“证据”，您有机会避免数据披露：您必须通过Last chance Telegram Channel联系我们的支持团队，通过KYC并获得进一步指示。但你应该意识到，你没有机会仔细思考是否与我们联系。状态总是可以更改为“已披露”，但我们会提前通知。

在其官网首页列出了被勒索的受害者信息。勒索信息包含了被勒索组织的名称，被勒索组织的官网，被勒索组织的介绍以及被勒索组织泄露的文件描述等，如下图所示：