《数据泄露态势月度报告》（2024年10月）附下载地址

新闻

1月前

去去去.jpg

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据作为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年9月。

一、数据泄露市场

2024年9月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报102,364份；
泄露数据的高价值买卖情报3,464份。

1. 国家分类

其中美国是数据泄露第一大国，共泄露数据721份，其他数据泄露较多的国家还包括：中国、印度、印尼、俄罗斯、泰国、法国、英国等。详情如下图所示：

2. 行业分类

9月份行业属性数据占泄露数据总量约91%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、批发零售业、教育行业等。9%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3. 泄露数量

9月份泄露的数据中包数份数十亿三要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数百亿行以上。

二、事件抽样分析

1、中情局针对美国选举的联合网络行动报告数据泄露

发布时间：2024.9.26
泄露数量：
售卖/发布人：nexwl

事件描述：2024.9.26某暗网数据交易平台有人宣称正在售卖一份中情局针对美国选举的联合网络行动报告。卖家称“该报告分为1.4（c）和1.3（c）两类，前者涉及外国政府信息，后者涉及保护情报来源、方法和战争计划。该报告详细介绍了俄罗斯、中国和伊朗合作组建的联合网络攻击部队。该部队名为CAU587，在这些国家的军事人员指挥下运作，其中包括外部特工。CAU587的目的是通过网络攻击影响和操纵美国选举。”此份数据的价格未知，需与卖家联系。

2、美国“黑矛计划”数据泄露

发布时间：2024.9.1
泄露数量：
售卖/发布人：nexwl

事件描述：2024.9.1某暗网数据交易平台有人宣称正在售卖一份美国“黑矛计划”数据。卖家称“这份名为“黑矛计划”的文件是一份高度机密的报告，详细介绍了美国的一项秘密防御计划。该项目概述了加强国家安全的先进技术和战略，包括：先进预警系统：利用深空雷达和快速反应卫星探测和跟踪潜在威胁。网络战能力：一种人工智能驱动的协议，旨在在敌方发射系统成为威胁之前渗透和禁用它们。高超音速拦截导弹：一支配备隐形技术和温压弹头的先进拦截舰队，用于精确有效地消除威胁。太空防御资产：反太空能力，包括动能“杀伤”卫星和地面反卫星系统，以保持美国在太空中的主导地位。认知战计划：通过数字作战和心理战术操纵信息和迷惑对手的举措。该文件高度敏感，标有多个级别的分类，如“绝密”和“SCI”，表明其仅限于特定的高级政府官员访问。它还讨论了未来的防御战略，包括太空优势、高级训练计划以及与主要盟友的合作。本文件独家介绍了现代国防的尖端技术和战略。”此份数据的价格未知。

3、北约数据泄露

发布时间：2024.9.10
泄露数量：
售卖/发布人：natohub

事件描述：2024.9.10某暗网数据交易平台有人宣称正在售卖一份北约数据。作者称共发布了北约的103个文件数据。

4、美国AnalogBits technical公司数据泄露

发布时间：2024.9.11
泄露数量：
售卖/发布人：teddyJ

事件描述：2024.9.11某暗网数据交易平台有人宣称正在售卖一份美国AnalogBits technical公司数据。Analog Bits，股份有限公司是开发和提供低功耗集成时钟、传感器和互连IP的领导者，这些产品应用在今天几乎所有的半导体。产品包括一系列精密时钟宏PLL、XTAL和RC振荡器、传感器。使用集成或单独可用的带隙和ADC监测温度、电压降、电压尖峰、系统电源完整性。作者称此份数据包含了“英特尔、三星、台积电、联电的机密源代码、数据表和另一份技术文档共计700 GB。”此份数据的价格为2万美元。

5、印度国有石油公司印度石油有限公司数据泄露

发布时间：2024.9.17
泄露数量：
售卖/发布人：Sorb

事件描述：2024.9.17某暗网数据交易平台有人宣称正在售卖一份印度国有石油公司印度石油有限公司数据。卖家称“数据库由592个csv表组成，总容量为143GB”，包含的字段有：基本数据个人数据、电话号码、姓名、送货地址以及通知交货、付款、订单列表的其他次要数据，此份数据的价格未知。

6、****市公务员信息数据泄露

发布时间：2024.9.25
泄露数量：10000
售卖/发布人：q**********7

事件描述：2024.9.25某暗网数据交易平台有人宣称正在售卖一份****市公务员信息数据。卖家称此份数据共10000条，数据包含的字段有：工作单位、姓名和手机号，此份数据的价格为188美元。

7、中国商务部数据泄露【不实】

发布时间：2024.9.28
泄露数量：25,124
售卖/发布人：l33tfg

事件描述：2024.9.28某暗网数据交易平台有人宣称正在售卖一份中国商务部数据。黑客称此份数据包含的字段有：电子邮件、IP、服务器日志、哈希、ASNS、URL、子域、后端 IP 地址。但经过对整体数据分析后发现这份数据并无太大价值。

8、***省文化和旅游厅数据泄露

发布时间：2024.9.29
泄露数量：432
售卖/发布人：F0XPLT

事件描述：2024.9.29某暗网数据交易平台有人宣称正在售卖一份***省文化和旅游厅数据。卖家称此份数据总条数为432条，总大小为116KB，包含的字段有：姓名，电话，身份证号，居住地址等。

9、***电信数据泄露

发布时间：2024.9.17
泄露数量：
售卖/发布人：303

事件描述：2024.9.17某暗网数据交易平台有人宣称正在售卖一份***电信数据。卖家称此份数据总大小超600GB，其中包含许多敏感信息以及军事信息。卖家并未提及价格，需要买家提供价格购买。

10、中国燃气集团用户数据泄露【假】

发布时间：2024.9.21

泄露数量：5,822,418

售卖/发布人：FireBear

事件描述：2024.9.21某暗网数据交易平台有人宣称正在售卖一份中国燃气集团用户数据。卖家称此份数据共7541331条，其中有效的身份证号有5822418条。主要数据字段包括：姓名，身份证号，出生日期、手机号、地址等。对此份数据的样例分析发现该数据中号称“idNo: 身份证号码”的字段只有16位且出生日期均为1910年。因此此份数据大概率为随机生成或拼凑来的假数据。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年9月全球活跃的商业黑客组织（有勒索发布行为）共29个，公开的勒索事件共312件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的79%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年9月）达到一年前统计前端（2023年10月）的84.32%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

事件	国家/组织	时间	黑客组织
Rancoz \| Fulcrum BioEnergy (fulcrum-bioenergy.com)	美国生物能源公司Fulcrum BioEnergy Inc	2024/9/25	Rancoz
http://www.libraries.delaware.gov	美国特拉华州图书馆分部State of Delaware	2024/9/24	RansomHub
http://www.diamondcontractingaz.com/	钻石承包有限责任公司	2024/9/22	Qilin
http://www.ten8fire.com	美国消防和应急装置和设备经销商Ten-8 Fire Equipment, Inc	2024/9/22	Qilin
http://www.tbmdf.com	美国工业设备提供商Thompson Construction Supply	2024/9/21	Play
http://www.omega-industries.com	美国干线铁路道口供应商Omega Industries	2024/9/21	Play
http://www.sfsd5keys.org	美国旧金山警察局San Francisco Sheriffs Department	2024/9/2	INC
http://www.cityofpleasantonca.gov	美国普莱森顿市	2024/9/10	Valencia
Pennsylvania State Education Association	宾夕法尼亚州立教育协会	2024/9/10	Rhysida
https://fr.wikipedia.org/wiki/Cameroun	美国国家社会保障基金	2024/9/12	Space Bears

（1）美国国家社会保障基金

商业黑客组织Space Bears在2024.9.12公布了美国国家社会保障基金被勒索的信息。该组织未按照规定时间内支付赎金，Space Bears于2024.10.2释放了获取到的所有该组织的数据。

（2）美国旧金山警察局

商业黑客组织INC在2024.9.2公布了美国旧金山警察局被勒索的信息。截止本篇报告发出之时INC并未释放更多该组织的数据。

（3）美国干线铁路道口供应商Omega Industries

商业黑客组织Play在2024.9.21公布了美国干线铁路道口供应商Omega Industries被勒索的信息。该组织未按照规定时间内支付赎金，Play于2024.9.27释放了获取到的所有该组织的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

组织	所属行业	时间	黑客组织
*****银行伦敦分行	金融	2024/9/11	Helldown

对该类事件，本文分析员的观点和立场如下：

1、坚决支持对勒索软件和黑客组织说“NO！”

2、企业CISO仍应加强自身安全建设，防止该类事件带来的损失；

3、访问https://0.zone/DwmTab获得全部勒索事件监控

5、典型黑客组织简介（SpaceBears）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media如需了解请翻阅往期报告。

本期介绍的是SpaceBears黑客组织。SpaceBears于2024年4月底开始首次行动，截止2024年9月底共发动了36次勒索行动。SpaceBears 疑似来自俄罗斯莫斯科，最近该组织声称对多起引人注目的攻击事件负责，展示了其在网络威胁领域精妙的策略。SpaceBears 通过实施精心设计的勒索软件攻击，对受害者的数据进行加密，并以此作为要挟，索取巨额赎金以换取解密工具。该组织在莫斯科的公开网络活动揭示了其高度组织化、企业化的结构，这为其全球性的犯罪活动提供了支撑。SpaceBears 对不同行业的有针对性攻击展现了其行动的高度复杂性以及广泛的影响力。该组织擅长发现并利用各行业的安全漏洞，从而实施其精心策划的网络攻击。以下为SpaceBears的官网界面：