《数据泄露态势月度报告》(2023年10月)

数据泄露
1年前

封面2.jpg

本报告由 数世咨询 & 零零信安 共同发布

在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。

为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。

本期报告的统计区间2023年9月。

01 数据泄露概况


2023年9月共监控到全球DWM(Dark Web Market)情报:

• 深网和暗网有效情报2,867,168份;
• 泄露数据的买卖情报31,383份。

01.png

按国别分类

其中美国是数据泄露第一大国,共泄露数据12,340份,其他数据泄露较多的国家还包括:法国、中国、德国、英国、俄罗斯、巴西、意大利、印度等。详情如下图所示: 

02.png

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。

行业分类

9月份行业属性数据占泄露数据总量约11%左右,泄露的行业数据主要包括信息和通讯行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、政府和军队等。89%左右的泄露数据无明显行业属性,包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示:
 03.png

泄露数量

9月份泄露的数据中包含一份据称1000亿条企业信息数据,数份超十亿的二要素个人数据泄露,因此除上述企业信息数据外,全球整体数据泄露量达到百亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在10亿行以上。

02 重大事件抽样分析


北约军事档案数据泄露

涉及国家:北约
发布时间:2023.9.20
售卖/发布人:romanse3

事件描述:2023.9.20某暗网数据交易平台有人宣称贩卖北约军事档案,贩卖者连续发布了3部分内容,包含飞机、导弹、无人机、军舰等文件,部分内容如下截图所示。值得注意的是,该贩卖者之前未在数据交易平台出现过,并且其头像、签名(“伊拉克国家安全处于沉默之中”)均使用了阿拉伯语,数据样本源为阿拉伯网盘。数据真实性和其目的性难以考证。

04.png

05.png

06.png

CIA、DOD、NATO、雷神数据贩卖

涉及国家:美国、北约
发布时间:2023.9.17
售卖/发布人:spectre123

事件描述:2023.9.17某暗网数据交易平台有人宣称贩卖美国CIA、DOD、雷神公司和NATO数据,并释放出样例数据。贩卖者对该数据定价为4万美元,并可以讲价,但不接受分批碎片交易。该数据不排除造假的可能性。 

07.png

美国FBI数据泄露

涉及国家:美国
发布时间:2023.8.7
泄露数量:5.28GB
售卖/发布人:透明

事件描述:该事件虽然发生于8月,但当时对事件的真实性存在严重怀疑,目前已确定事件的真实性,因此在本期报告中补充说明。2023.8.7透明团体发布该事件,宣称匿名者附属组织Lulzsec/Antisec对联邦调查局、执法机构和承包商发起一系列黑客攻击,并获取了5.28GB数据。该事件包含一系列数据,部分内容如下图所示。 

08.png

宗教极端主义组织ISIS数据泄露

涉及国家:ISIS
发布时间:2023.9.12
泄露数量:22,000
售卖/发布人:Prometheus69

事件描述:2023.9.12某暗网数据交易平台有人宣称宗教极端主义组织ISIS数据泄露,导致22000名组织战士身份泄露,包括姓名、电话号码、家庭住址、血型等信息。

09.png

以色列国防部数据泄露

涉及国家:以色列
发布时间:2023.9.7
售卖/发布人CyboDevil

事件描述:2023.9.7某暗网数据交易平台有人宣称获取并发布了以色列国防部数据,该数据包含姓名、项目组、电话号码、住宅电话、手机、电子邮件、出生日期、年龄、地址、性别、父亲姓名、原籍国等信息。 

10.png

北约数据泄露

发布时间:2023.9.30
泄露数量:3,000
售卖/发布人:Siegedsec

事件描述:2023.9.30某暗网数据交易平台有人宣称获取和发布北约数据,据称该数据超过3000个文件,7.8GB压缩包,包含北约标准化办公室、北约投资司、物流网络、高级分布式学习等数据。这是该黑客组织第二次发布北约数据,上一次发布的数据包含844MB数据。

11.png

**空调数据泄露

发布时间:2023.9.24
泄露数量:13,500,000
售卖/发布人:Blastoise

事件描述:2023.9.24某暗网数据交易平台有人宣称出售**空调维修数据,总量为1350万,并提供了样例数据。样例数据中显示,该数据库包含业主姓名、电话号码、维修单位、维修状态等。 

12.png

布**宫数据泄露

发布时间:2023.9.15
泄露数量:1.5GB
售卖/发布人:FBI-WARNING

事件描述:2023.9.15某暗网数据交易平台有人宣称布**宫数据,总量为1.5GB,包含所有游客的姓名、手机号码、微信号、身份证、机票信息、旅行社信息等,并提供了数十条样例数据。从样例数据来分析,其放出的样例有可能不是全部数据库表头。

13.png

电*信息6.3亿数据泄露

发布时间:2023.9.3
泄露数量:630,000,000
售卖/发布人:ChinaManDan、chinadan、LandLord、agro等

事件描述:2023.9.3-9.6,在多个暗网数据交易平台出现多名数据售卖者宣称出售6.3亿电*数据。该贩卖信息最早于2023.4.25在Exp和XSS交易平台被同时发布,当时售价为8万美元,并提供1万数据样本。后于6月和8月分别少量转售,售价5万美元。本次在不少于7个数据交易平台被大规模转售,售价降至1000美元。售卖者宣称数据来源于电*,包含姓名、身份证、地址、电话、卡号等信息。 

14.png

10 福*之窗数据泄露

发布时间:2023.9.18
泄露数量:350,000
售卖/发布人:zipperrr

事件描述:2023.9.18某暗网数据交易平台有人宣称获取并提供福*之窗35万用户数据,包括用户名、密码、邮箱等。截止本稿撰写之时发现该门户网站显示为停运状态。

15.png

03 勒索软件和黑客组织


活跃商业黑客组织综述

2023年9月全球活跃的商业黑客组织(有勒索发布行为)共37个,公开的勒索事件共527件,TOP 10的黑客组织如下所示:

20231020172334.jpg

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的70%,如下所示: 

17.png

黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所下降),但整体活跃度趋势正在逐步增加,统计末端(2023年9月)已达到一年前统计前端(2022年10月)的253%: 

18.png

随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃黑客组织数量达到历史新高。如下图所示: 

19.png

本月典型事件说明

由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:

20.png

(1)科威特财政部

商业黑客组织Rhysida在2023.9.25公布了科威特财政部被勒索的信息,该部门未按照勒索组织的要求在规定期限内支付赎金。Rhysida共窃取了科威特财政部多达464GB的数据,合计348,979份文件,并公布在互联网上提供下载。如下图所示: 

21.png

(2)福特公司

商业黑客组织8base在2023.9.11对福特进行了入侵并发布了勒索信息,该公司未按照勒索组织的要求在规定期限内支付赎金。2023.9.18,8base将窃取的一部分文件在互联网上进行了发布并提供下载,这些文件包括:发票、收据、会计凭证、个人数据、证书、雇佣合同、大量机密信息、保密协议、客户个人档案等,共10GB压缩文件。如下图所示:

22.png

(3)台湾裕信汽車

商业黑客组织Ragroup在2023.9.4公布了台湾裕信汽車被勒索的信息,该公司未按照勒索组织的要求在规定期限内支付赎金。Ragroup共窃取了台湾裕信汽車55GB的数据,包括管理部合約、裕信內部稽核、出納課、會計課、經理室、經分課等数据,并公布在互联网上提供下载。如下图所示:

23.png

■ 对该类事件,本文分析员的观点和立场如下

(1)坚决支持对勒索软件和黑客组织说“NO!”
(2)企业CISO仍应加强自身安全建设,防止该类事件带来的损失;
(3)我们将与某些公益组织合作,为受到勒索和黑客组织攻击的单位提供免费技术支持,该计划预计在近期内上线

典型黑客组织简介(Royal)

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有:Lockbit3,如需了解请翻阅往期报告。

本期介绍Royal(皇家)勒索组织。Royal黑客组织最早于2022年底开始活跃,是一个比较“年轻”的黑客组织,但其整体活跃度较高,在不到1年的时间中共发布了192起勒索公告,主要活跃期在2022年11月至2023年5月。

Royal勒索组织在活跃期内效率极高,活跃期间,勒索量和发布量仅次于Lockbit3、BlackCat等顶尖勒索组织。Royal的勒索金额大约从100万美元至1100万美元区间,并且他们并不在勒索留言中注明金额,而是要求受害者与他们进行联系和互动,以获取勒索金额。

Royal在成功入侵、加密、窃取、勒索某企业时,通常会留下以下信息: 

24.png

如勒索失败,该组织会在其官网发布新闻,并将该新闻通报到公共媒体和社交平台,以损害被勒索企业的信誉度: 

25.png

并在该组织搭建的文件服务器上释放窃取的文件,以供访问者免费下载,以下为示例:

26.png

04 匿名社交社群


9月份监控到匿名社交社群情报总数量44,828,818条,提供的有效数据泄露样例下载3871份。涉及到我国数据泄露的内容,包括:银行、保险、贷款、航空、微信好友、工商信息、公积金、购房信息、社保信息、医生和护士信息、教师和学生信息、网购、月子中心等众多类型。

以下随机选取展示部分样本: 

27.png

28.png

29.png

以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。

此外,检索到9月份使用匿名社交软件的活跃用户中,以“13”开头的手机号共发信息978个,以“18”开头的手机号共发信息7975个。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下分别为9月份使用“13”和“18”开头的手机号的TOP 10信息:

30.png

* 如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 dw@dwcon.cn 与我们联系。

— 【 THE END 】—