《数据泄露态势月度报告》（2024年9月）| 附下载地址

数据泄露

1月前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年8月。

一、数据泄露市场

2024年8月共监控到全球DWM（Dark Web Market）情报：

●深网和暗网有效情报2,365,643份；
●泄露数据的高价值买卖情报4,302份。

1、国家分类
其中美国是数据泄露第一大国，共泄露数据1133份，其他数据泄露较多的国家还包括：中国、印度、印尼、英国、俄罗斯、法国、巴西、德国等。详情如下图所示：
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。
2、行业分类
8月份行业属性数据占泄露数据总量约90%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、批发零售业、教育行业等。10%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示：
3、泄露数量

8月份泄露的数据中包数份十数亿三要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、peopledatalab数据泄露12亿条
发布时间：2024.8.18
泄露数量：1,213,654,945
售卖/发布人：AhmerAI
事件描述：2024.8.18某暗网数据交易平台有人宣称正在售卖一份peopledatalab数据。卖家称此份数据与此前peopledatalab泄露过的4亿条数据不是同一份，称此份数据有效姓名字段超12亿条；有效邮箱字段超4亿条；有效电话字段超1800万条；有效领英链接超12亿条；有效国家字段超11亿条，此份数据的价格为15,000美元。

2、俄罗斯机密军事文件数据泄露
发布时间：2024.8.30
泄露数量：
售卖/发布人：nexwl
事件描述：2024.8.30某暗网数据交易平台有人宣称正在售卖一份俄罗斯机密军事文件。卖家称此份数据包含了：有关开发解决方案以保护无人机操作和管理中使用的无线信号的先进技术细节。他们讨论了精确控制无人机的重要性，强调了对无线电频率进行最佳管理的必要性，以避免任何可能影响这些飞机效率的干扰或干扰。内容概述了选择合适频率、设计天线和使用各种技术来确保信号安全的建议。此外，这些文件还包括与俄罗斯军方有关的高度敏感信息，特别是军方在战争中使用的秘密频率。此份数据的价格为10,000美元。

3、俄罗斯核文件数据泄露
发布时间：2024.8.30
泄露数量：
售卖/发布人：everlivingfire22
事件描述：2024.8.30某暗网数据交易平台有人宣称正在售卖一份俄罗斯核文件数据。卖家称此份数据包含：核武器的详细技术规格，包括设计、当量能力、运载机制和操作程序，还包括战略防御计划、部署战略和核武库的位置。此外，这些文件可能会严重损害俄罗斯的国家安全。此份数据的价格未知。

4、美国机密军事计划黑矛计划数据泄露
发布时间：2024.8.24
泄露数量：
售卖/发布人：nexwl
事件描述：2024.8.24某暗网数据交易平台有人宣称正在售卖一份美国机密军事计划黑矛计划。黑矛计划：美国加强国防的秘密倡议美国正在不断发展其防御战略，以保持对新兴全球威胁的优势。最近一项名为“黑矛计划”的机密倡议是朝着这个方向迈出的重要一步。该项目的主要目的是抵消敌对国家在导弹技术和网络能力方面的快速发展。黑矛项目是在国防情报局（DIA）、国家侦察局（NRO）和国家安全局（NSA）的联合指导下开发的一个高度机密的项目。它侧重于加强美国在多个领域的战略防御能力：太空、网络和导弹防御。该倡议不仅寻求防御潜在威胁，还寻求在技术上实现跨越式发展，以保持决定性优势。卖家称拥有这个绝密项目的完整档案，包括运营细节、技术进步和战略计划。附加机密文件：一系列文件，揭示了美国国防战略、秘密资助机制和机构间行动的隐藏方面。

5、中情局关于俄罗斯逃避制裁策略的报告数据泄露
发布时间：2024.8.28
泄露数量：
售卖/发布人：nexwl
事件描述：2024.8.28某暗网数据交易平台有人宣称正在售卖一份中情局关于俄罗斯逃避制裁策略的报告数据。卖家称此份数据“这是一份直接来自中央情报局的绝密文件，概述了俄罗斯绕过国际制裁的秘密战略。在最高分类级别下，这份报告不是普通的文件；它很敏感，高度受限，不适合外国人看。其中的细节具有爆炸性，可能会改变任何有兴趣理解或对抗俄罗斯全球演习的各方的游戏规则。”
此份数据的价格为2,000美元。

6、旅行团数据泄露
发布时间：2024.8.29
泄露数量：75,000,000
售卖/发布人：BlackKing
事件描述：2024.8.29某暗网数据交易平台有人宣称正在售卖一份旅行团数据。卖家称此份数据主要是与****程合作的旅行社客户数据库。数据字段有：姓名、电话、地址、邮箱等，此份数据的价格未知。

7、台湾兵役数据泄露
发布时间：2024.8.30
泄露数量：100,000
售卖/发布人：boo
事件描述：2024.8.30某暗网数据交易平台有人宣称正在售卖一份台湾兵役数据。卖家称此份数据共有10万条，数据字段：姓名、军人代码、教育水平、父母姓名、地址等个人信息。

8、*******市政府领导信息数据泄露
发布时间：2024.8.26
泄露数量：8,700
售卖/发布人：usop
事件描述：2024.8.26某暗网数据交易平台有人宣称正在售卖一份*******市政府领导信息。数据字段有：姓名、单位、职位、联系电话，总条数为8700条。

9、台湾就业详情和抵押状态数据泄露
发布时间：2024.8.23
泄露数量：23,000
售卖/发布人：
事件描述：2024.8.23某暗网数据交易平台有人宣称正在售卖一份台湾就业详情和抵押状态数据。数据字段有：姓名、身份证号、性别、电话、邮箱、地址、学校、有无抵押情况、登记工作单位、工作职务，总条数为23000条。

10、38.7万个中国账号数据泄露【老密】

发布时间：2024.8.23

泄露数量：387,000

售卖/发布人：DeathNoteHackers

事件描述：2024.8.23某暗网数据交易平台有人宣称正在售卖一份38.7万个中国账号数据。其中，23.6万个中国教育机构账户以及5.1万个淘宝账户并提供了下载链接。在经过对此数据抽样检查后，发现此三份数据均来自2023下半年的naz.api等相关数据集，通过关键词进行清洗得来。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述
2024年8月全球活跃的商业黑客组织（有勒索发布行为）共34个，公开的勒索事件共386件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的69%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所增加），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年8月）达到一年前统计前端（2023年9月）的73.24%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

事件	国家/组织	时间	黑客组织
https://www.usmarshals.gov/	美国法警局	2024/8/17	hunters
http://Jeffersoncountyclerk.org	美国杰斐逊县书记办公室	2024/8/11	RansomHub
http://www.huduser.gov	美国住房和城市发展部	2024/8/7	Meow
http://www.kinetx.com	美国航空航天公司KinetX Aerospace	2024/8/7	Play
https://aikenhousing.org/	美国艾肯房屋委员会	2024/8/6	Black Suit
http://nieul-sur-mer.fr	法国滨海尼约尔镇	2024/8/30	lockbit3
http://www.polycohealthline.com	保利可医疗有限公司	2024/8/28	RansomHub
http://www.alabamaplate.com	阿拉巴马板材切割公司	2024/8/26	RansomHub
http://keystoneeng.com/	美国基斯通工程	2024/8/2	Space Bears
http://www.prismconstruction.co.uk	棱镜建筑	2024/8/29	Monti

1）美国法警局
商业黑客组织hunter在2024.8.17公布了美国法警局被勒索的信息。该组织未按照规定时间内支付赎金，hunter于2024.8.29释放了获取到的所有该组织的数据。

2）美国艾肯房屋委员会
商业黑客组织Black Suit在2024.8.6公布了美国艾肯房屋委员会被勒索的信息。该组织未按照规定时间内支付赎金，Black Suit于2024.8.23释放了获取到的所有该组织的数据。

3）美国住房和城市发展部

商业黑客组织Meow在2024.8.7公布了美国住房和城市发展部被勒索的信息。该组织未按照规定时间内支付赎金，Meow随后将这些数据以1000-3000美元的价格进行出售。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

组织	所属行业	时间	黑客组织
*****勤科技集团	科技	2024/8/22	Helldown
*****图书股份有限公司	教育	2024/8/28	RansomHub

对该类事件，本文分析员的观点和立场如下：

坚决支持对勒索软件和黑客组织说“NO！”企业CISO仍应加强自身安全建设，防止该类事件带来的损失；访问https://0.zone/DwmTab获得全部勒索事件监控

5、典型黑客组织简介（Arcus Media）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit如需了解请翻阅往期报告。

本期介绍的是Arcus Media黑客组织。Arcus Media于2024年5月中旬开始首次行动，截止2024年7月底共发动了28次勒索行动。其中Arcus Media 5 月份成功发动的勒索软件攻击次数在勒索软件组织中排名第10，共有11次攻击成功。Arcus Media 使用带有恶意附件的钓鱼电子邮件获取初始访问权限。他们部署自定义勒索软件二进制文件和混淆脚本来执行有效负载，创建计划任务以保持持久性，并使用Mimikatz等工具进行权限提升。他们的方法包括常规勒索和双重勒索。

Arcus Media 以勒索软件即服务 (RaaS)的形式运营，允许其他威胁行为者使用他们的恶意软件。研究人员指出，他们有一个独特的联盟计划，要求新联盟必须由现有联盟推荐。该组织针对多个行业，包括政府、金融、医疗保健和教育，其中最著名的攻击是美国电信和伦敦医院。以下为Arcus Media的官网界面：