《数据泄露态势月度报告》（2024年11月）| 附下载地址

数据泄露

2天前

微信图片_20241118210800.png

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据作为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年10月。

一、数据泄露市场

2024年10月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报128,827份；
泄露数据的高价值买卖情报3,238份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据649份，其他数据泄露较多的国家还包括：印度、中国、印尼、英国、法国、泰国、马来西亚等。详情如下图所示：

2、行业分类

10月份行业属性数据占泄露数据总量约79%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、批发零售业、教育行业等。21%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

10月份泄露的数据中包数份数十亿三要素数据以及数份数亿二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数百亿行以上。

二、事件抽样分析

1、美国中央情报局CIA数据泄露

发布时间：2024.10.5

泄露数量：

售卖/发布人：BlueFlame

事件描述：2024.10.5某暗网数据交易平台有人宣称正在售卖一份美国中央情报局CIA数据。卖家称此次售卖的数据包含：第一个项目是星际之门，其中包含800多个文件，记录了该地的所有实验、科学家以及与实验相关的一切，所有文件都是机密和绝密的；第二部分是完整的精神控制项目，包含4000多个记录完整实验的文件；第三部分是不明飞行物部分，其中包含证明和确认这些场景的完整文件；第四部分是关于HAARP项目，包含所有项目设备的图片和方程图以及第五部分是美国秘密间谍巢穴，包含72个绝密文件。此份数据总价格为400美元。

2、美国科技公司思科cisco数据泄露

发布时间：2024.10.14

泄露数量：

售卖/发布人：IntelBroker

事件描述：2024.10.14某暗网数据交易平台有人宣称正在售卖一份美国科技公司思科cisco数据。该名黑客在帖子中称潜在的买家可以联系他并报价同时此次交易只支持门罗币支付。该名黑客宣称获取到的数据有：Github项目，Gitlab项目，SonarQube项目，源代码，硬编码凭据，证书，客户SRC，思科机密文件，Jira票证，API令牌，AWS私有桶，思科技术SRC，Docker构建，Azure存储桶，私钥和公钥，SSL证书，思科高级产品等。可能受到此次攻击影响的国家包括澳大利亚、英国、沙特阿拉伯、埃及、土耳其、瑞典、阿拉伯联合酋长国、南非、墨西哥、加拿大和中国。其中政府机构包括：美国空军、美国陆军、联邦调查局、国家安全局、美国邮政局、欧洲议会等，其中涉及到我国的企业至少包括：*东集团、农*银行、农业**银行、*发银行、太**保险等。

3、美国MIM-104爱国者地对空导弹数据泄露

发布时间：2024.10.19

泄露数量：

售卖/发布人：Cas

事件描述：2024.10.19某暗网数据交易平台有人宣称正在售卖一份美国MIM-104爱国者地对空导弹数据。卖家称“可以提供这些SAM的确切位置，有多少个，从收集的数据中提取它们的RF、它们的范围等。”此份数据的价格未知。

4、以色列国家数字系统数据泄露

发布时间：2024.10.23

泄露数量：

售卖/发布人：EagleStrike

事件描述：2024.10.23某暗网数据交易平台有人宣称正在售卖一份以色列国家数字系统的数据。卖家称此份数据包括：以色列与美国等其他国家的关系、所有财务和技术文件、他们与以色列国家数字局的关系、他们举办的所有课程和课程的信息。此份呢数据总量大小超110GB，售价为15000美元。

5、菲律宾军事情报部门数据泄露

发布时间：2024.10.23

泄露数量：

售卖/发布人：FATHER121

事件描述：2024.10.23某暗网数据交易平台有人宣称正在售卖一份菲律宾军事情报部门数据。卖家称此份数据包含：关于其中一个军事空军基地活动的秘密和机密信息；与其他国家的军事合作信息以及武官和其他高级官员访问军事基地领土的报告。卖家称此份数据的大小超500MB，价格为1.5个比特币。

6、**冠状病毒肺炎核酸疫苗数据库泄露

发布时间：2024.10.14

泄露数量：45,000,000

售卖/发布人：Sevenwolves

事件描述：2024.10.14某暗网数据交易平台有人宣称正在售卖一份**冠状病毒肺炎核酸疫苗数据库。卖家称此份数据包含的字段有：姓名，身份证号，手机号。该份数据总量为4500万条。

7、中国加密货币用户数据泄露

发布时间：2024.10.14

泄露数量：1,000,000

售卖/发布人：Sevenwolves

事件描述：2024.10.14某暗网数据交易平台有人宣称正在售卖一份中国加密货币用户数据。此份数据的数据字段有：姓名、手机、运营商、金额、注册账号、网站编码、网站、平台。该份数据的总量为100万条。

8、中国**贷款平台用户数据泄露

发布时间：2024.10.20

泄露数量：41,000

售卖/发布人：Sevenwolves

事件描述：2024.10.20某暗网数据交易平台有人宣称正在售卖一份中国**贷款平台用户数据。此份数据的数据字段包含：姓名、电话、身份证号码、银行卡号、联系人、联系电话，数据总量为4.1万条，此份数据的价格为2000美元。

9、******市服务业职业技能培训学校数据泄露

发布时间：2024.10.31

泄露数量：21,337

售卖/发布人：i****y

事件描述：2024.10.31某暗网数据交易平台有人宣称正在售卖一份******市服务业职业技能培训学校数据。此份数据的数据字段包含：姓名、性别、年龄、身份证号等，数据总量为21337条，此份数据的价格为50美元。

10、中国***航空机票数据泄露

发布时间：2024.10.31

泄露数量：

售卖/发布人：a******0

事件描述：2024.10.31某暗网数据交易平台有人宣称正在售卖一份中国***航空机票数据。此份数据包含的数据字段有：姓名，手机号、身份证号、票号。此份数据的价格为340美元。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年10月全球活跃的商业黑客组织（有勒索发布行为）共36个，公开的勒索事件共549件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的69%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年10月）达到一年前统计前端（2023年11月）的122.81%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

1)美国洛杉矶市住房管理局

商业黑客组织Cactus在2024.10.30公布了美国洛杉矶市住房管理局被勒索的信息。截止本篇报告发出之时Cactus并未释放更多美国洛杉矶市住房管理局的数据。

2)欧洲对外行动署

商业黑客组织Kill在2024.10.28公布了欧洲对外行动署被勒索的信息。截止本篇报告发出之时Kill并未释放更多欧洲对外行动署的数据。

3)利比亚内政部

商业黑客组织kill在2024.10.15公布了利比亚内政部被勒索的信息。截止本篇报告发出之时kill并未释放更多利比亚内政部的数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

5、典型黑客组织简介（killsec)

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear如需了解请翻阅往期报告。

本期介绍的是killsec黑客组织。KillSec是一个高度活跃的实体，以参与勒索软件攻击和数据泄露而闻名。他们的第一条Telegram消息出现在2023年10月，截止2024年10月底共发动了73次勒索行动。KillSec 网站上列出的联盟计划规则和要求揭示了该组织的运营策略以及其声明的政策与观察到的行为之间的矛盾。

其中两个突出：语言要求和国际定位。联盟计划要求参与者具备基本的英语或俄语知识，以便进行交流。虽然俄语通常与许多网络犯罪集团有关，但 KillSec 在其招募页面以及其他来源上使用英语非常重要。这表明他们无意组建一个本地化的统一组织，而是旨在吸引国际联盟成员。通过吸引来自不同国籍和语言群体的参与者，该组织可以扩大其影响力，并可能在不同地区获得更多知名度。禁止攻击关键基础设施与实际行为：然而，在审查他们的活动后，我们发现KillSec 大约 20% 的行动直接针对医疗行业的组织。

KillSec重点关注印度，29.55%的攻击针对该国组织。同时9.09%的活动针对美国。孟加拉国也是他们的行动重点，6.82%的受害者来自那里。其余54.55%的攻击分布在其他国家，其中亚洲国家占近一半。KillSec 明显专注于针对关键行业，医疗保健是其主要目标，占其涉嫌攻击的 20.45%。紧随其后的是金融行业，占受害者的 18.2%。此外，政府实体占其活动的 15.91%。以下为KillSec的官网界面：