《数据泄露态势月度报告》（2024年8月）| 附下载地址

数据泄露

27天前

本报告由 数世咨询 & 零零信安 共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年7月。

第一章　数据泄露市场

2024年7月共监控到全球DWM（Dark Web Market）情报：

　　● 深网和暗网有效情报49,832份；
　　● 泄露数据的高价值买卖情报3,730份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据777份，其他数据泄露较多的国家还包括：印度、中国、俄罗斯、印尼、法国、巴西、英国等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

2、行业分类

7月份行业属性数据占泄露数据总量约82%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、文体娱乐业、批发零售业等。28%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。

详情如下图所示：

3、泄露数量

7月份泄露的数据中包数份十几亿邮箱密码二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

第二章　事件抽样分析

1、印度国防部员工数据泄露

发布时间：2024.7.25
泄露数量：1,800,000
售卖/发布人：IMPORTANT_LEAK

事件描述：2024.7.25某暗网数据交易平台有人宣称正在售卖一份印度国防部员工数据。该名卖家称在2024年7月11日攻击了www.mod.gov.in得到了国防部员工的数据。数据字段：姓名、电话号码、人员代码、密码等。卖家称此份数据共有1,800,000条，并上传了部分样例，此份数据的售价为3,000美元。

2、北约TIDE(信息决策与执行优势智库)数据泄露

发布时间：2024.7.7
泄露数量：
售卖/发布人：natohub

事件描述：2024.7.7某暗网数据交易平台有人宣称正在售卖一份北约TIDE(信息决策与执行优势智库)数据。该名黑客称数据共有643个csv文件，总大小为271MB，数据包含：用户数据、用户组、物理/虚拟服务器、事件等。

3、美国陆军、海军、空军、海岸警卫队数据泄露

发布时间：2024.7.19
泄露数量：25,152
售卖/发布人：natohub

事件描述：2024.7.19某暗网数据交易平台有人宣称正在售卖一份美国陆军、海军、空军、海岸警卫队军人个人信息数据。其中空军9450条，海军8681条，陆军5571条，海岸警卫队1450条。涉及到的数据字段有：ID、姓名、职务、电子邮件、电话、单位。

4、委瑞内拉军队数据泄露

发布时间：2024.7.31
泄露数量：1,000,000
售卖/发布人：Valerie

事件描述：2024.7.31某暗网数据交易平台有人宣称正在售卖一份委瑞内拉军队数据。该名黑客称“尽管马杜罗曾承诺举行自由公正的选举，但这一进程因涉嫌谋杀而受到损害——反对派人士被捕，他们的主要领导人被禁止参选。委内瑞拉军队网站（ejercito.mil.ve）遭到入侵，这是独裁政权和自称2024年委内瑞拉大选“获胜者”尼古拉斯﹒马杜罗的报复。这是一种反对自由和民主的行为；因此，我们与人民站在一起。”该黑客称此份数据共有100多万条在内的委瑞内拉军方和政府雇员的个人信息数据，包括：全名、电子邮件、地址、凭据、密码等。

5、巴西国有核能公司数据泄露

发布时间：2024.7.18
泄露数量：
售卖/发布人：ZeroSevenGroup

事件描述：2024.7.18某暗网数据交易平台有人宣称正在售卖一份巴西国有核能公司Nuclebrás Equipamentos Pesados S.A（NUCLEP）数据。NUCLEP是一家巴西国有核公司，专门从事核工程和核、国防、石油和天然气工业的重型设备。该黑客称获取到了超250GB的数据，其中包括国防制造业、核制造和采矿、军用核潜艇、方案Autocad（3D、dwg等）、铀矿开采视频和图片、石油和天然气、员工详细信息（电子邮件、密码、姓名等）等，此份数据的价格未知。

6、台湾*******党员信息数据泄露

发布时间：2024.7.16
泄露数量：1,053,000
售卖/发布人：1902429

事件描述：2024.7.16某暗网数据交易平台有人宣称正在售卖一份台湾*******党员信息数据。卖家称该数据包含2019年前所有台湾*******党员，总数为105.3万条，数据字段：身份证号,姓名,党员编号,性别,生日,电话,介绍人,所在党部,手机号，邮箱，家庭住址，邮编，公司名称，公司电话，公司类别，公司邮编。

7、中国科学院数据泄露【假】

发布时间：2024.7.13
泄露数量：
售卖/发布人：DeathNoteHackers

事件描述：2024.7.16某暗网数据交易平台有人宣称正在售卖一份中国科学院数据。该发布者声称“此次数据泄露是为了回应中国的欺凌，因此发布了中国科学院(https://www.cas.cn)数据，以表明对中国对菲律宾人员和菲律宾渔民的侵略行为。此举是为了反对在西菲律宾海的持续骚扰和非法索赔。”获取此份数据进行解压后，发现压缩包里除了一些前端配置文件外，其余都是后缀为.nc的文件，整体文件中并没有DeathNoteHackers声称的研究文件、用户文件等。在谷歌对其中随机几个文件进行搜索检索，发现此文件来源为中国科学院的公开资料。从中国科学院的公开资料随机下载了几个文件与黑客组织上传的文件进行对比，发现文件完全相同。至此可以判断此黑客组织DeathNoteHackers宣称的中国科学院数据均为公开来源下载的数据，而并非他们所称的机密数据，该数据为公开可获取的（疑似）气象样例数据。

8、台湾*****局官员名单数据泄露

发布时间：2024.7.21
泄露数量：4,000
售卖/发布人：SorryBB

事件描述：2024.7.21某暗网数据交易平台有人宣称正在售卖一份台湾*****局官员名单数据。卖家称此份数据共有4000余条，数据字段有：姓名、职称、开始时间、电话、电子邮件地址等，数据价格为1500美元。

9、国家*********基金委数据泄露

发布时间：2024.7.23
泄露数量：1,000,000
售卖/发布人：IMPORTANT_LEAK

事件描述：2024.7.23某暗网数据交易平台有人宣称正在售卖一份国家*********基金委数据。卖家称“7月14日，部分人员入驻的中国国家********基金委员会网站存储的管理用户信息和数据被使用盗取，黑客获取到了100万条的用户信息。”数据字段：姓名，电话，年龄，地址，组织等。此份数据的价格为1000美元。

第三章　勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年7月全球活跃的商业黑客组织（有勒索发布行为）共42个，公开的勒索事件共445件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的64%，如下所示：

2、黑客组织活跃度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所增加），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年7月）达到一年前统计前端（2023年8月）的68.94%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

（1）美国佛罗里达州卫生部

商业黑客组织RansomHub在2024.7.2公布了美国佛罗里达州卫生部被勒索的信息。该组织未按照规定时间内支付赎金，随后RansomHub释放了获取到的所有该组织的数据。

（2）美国纽卡斯尔市政府

商业黑客组织RansomHub在2024.7.13公布了美国纽卡斯尔市政府被勒索的信息。该组织未按照规定时间内支付赎金，随后RansomHub释放了获取到的所有该组织的数据。

（3）美国城市圣罗莎

商业黑客组织hunter在2024.7.4公布了美国城市圣罗莎被勒索的信息。该组织未按照规定时间内支付赎金，随后hunter释放了获取到的所有该组织的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

■ 对该类事件，本文分析员的观点和立场如下：

⑴ 坚决支持对勒索软件和黑客组织说“NO！”
⑵ 企业CISO仍应加强自身安全建设，防止该类事件带来的损失；
⑶ 访问https://0.zone/DwmTab获得全部勒索事件监控。

5、典型黑客组织简介（Black Suit）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data如需了解请翻阅往期报告。

本期介绍的是Black Suit黑客组织。Black Suit于2023年5月开始首次行动，截止2024年7月底共发动了147次勒索行动。Black Suit似乎与 Royal 勒索软件团伙有着密切的联系，而该团伙本身就是臭名昭著的 Conti 集团的残余。Black Suit是一个多管齐下的黑客组织，加密和窃取受害者数据，并上传不支付赎金的受害者数据到公共数据泄露网站。该组织因对医疗保健和教育部门以及其他关键行业的实体发动重大攻击而闻名。Black Suit 是一个私人行动，没有公共附属机构。Black Suit的目标为大型企业和中小型企业 (SMB) ，但在行业或目标类型方面似乎没有任何具体的歧视。与Royal类似，CIS（独立国家联合体）中的实体似乎被排除在外。到目前为止，Black Suit 的目标对象主要是医疗保健、教育、信息技术 (IT)、政府、零售和制造业。网络钓鱼电子邮件是 Black Suit 威胁行为者最成功的初始访问媒介之一。在获得受害者网络的访问权限后，Black Suit 行为者会禁用防病毒软件并泄露大量数据，然后最终部署勒索软件并加密系统。赎金要求通常在约 100 万美元至 1000 万美元之间，要求以比特币支付。Black Suit 参与者总共要求超过 5 亿美元赎金，最大的个人赎金要求为 6000 万美元。Black Suit 参与者表现出协商支付金额的意愿。最近，受害者收到 Black Suit 参与者关于入侵和赎金的电话或电子邮件通信的案例数量有所增加。以下为Black Suit的官网界面：