《全球数据泄露态势月度报告》（2025年1月）

数据泄露

3天前

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2025年1月。

一、数据泄露市场

2025年1月共监控到全球DWM（Dark Web Market）情报：

Ø 深网和暗网有效情报96,082份；

Ø 泄露数据的高价值买卖情报4,749份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据838份，其他数据泄露较多的国家还包括：中国、印度、印尼、马来西亚、法国、俄罗斯、俄罗斯、泰国等。详情如下图所示：

2、行业分类

1月份行业属性数据占泄露数据总量约62%左右，泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、批发零售业、教育行业等。38%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

1月份泄露的数据中包数十份数十亿三要素日志数据以及数份数十亿二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、恐怖组织ISIS数据泄露

发布时间：2025.1.27

泄露数量：

售卖/发布人：The_Sn1p3r

事件描述：2025.1.27某暗网数据交易平台有人宣称正在售卖一份恐怖组织ISIS数据。卖家称此份数据共23个文件，价格为400美元且已经成功售出一人。

2、西班牙国防部数据泄露

发布时间：2025.1.14

泄露数量：

售卖/发布人：natohub

事件描述：2025.1.14某暗网数据交易平台有人宣称正在售卖一份西班牙国防部数据。卖家称此份数据主要为西班牙国民警卫队和西班牙国防部人员数据，共16万条，泄露的数据字段包含：用户名、姓名、邮箱、电话号码。此份数据的价格未知，几天后卖家称此份数据成功卖出。

3、佛罗里达州警察信息数据泄露

发布时间：2025.1.24

泄露数量：

售卖/发布人：Typical_Retard

事件描述：2025.1.24某暗网数据交易平台有人宣称正在售卖一份所有佛罗里达州警察信息数据。卖家称此份数据的数据字段包含：用户名、邮箱、密码、注册日期等。

4、菲律宾国家调查局NBI数据泄露

发布时间：2025.1.18

泄露数量：

售卖/发布人：ZODIAC_KILLER

事件描述：2025.1.18某暗网数据交易平台有人宣称正在售卖一份菲律宾国家调查局NBI数据，NBI的职能类似于美国的联邦调查局 (FBI)。此次泄露的数据字段包括：全名、地址、交易ID、参考编号、状态金额、目的详情、交易日期、付款渠道、分行代码、收货人的姓氏、收货人的名字、收货人的中间名、收货人的街道等。

5、以色列议会数据泄露

发布时间：2025.1.31

泄露数量：

售卖/发布人：dna

事件描述：2025.1.31某暗网数据交易平台有人宣称正在售卖一份以色列议会数据，该议会是该国最高立法机构。卖家称此份数据大小为16GB，总文件数为26188个。

6、加密货币平台OKX数据泄露

发布时间：2025.1.11

泄露数量：1,000,000

售卖/发布人：1900275

事件描述：2025.1.11某暗网数据交易平台有人宣称正在售卖一份加密货币平台OKX数据。卖家称此份数据共100万条，包含的数据字段有：姓名、手机号、运营商、金额、注册账号、网站编码等，此份数据的价格为150美元。

7、中华全国工*会数据泄露

发布时间：2025.1.23

泄露数量：15,000

售卖/发布人：W1ndStre4m

事件描述：2025.1.23某暗网数据交易平台有人宣称正在售卖一份中华全国工*****会数据。卖家称此份数据的泄露日期为2024年7月21日，但一直没有人购买因此选择泄露出来。此份数据的大小为118MB，数据条数超15000条，数据字段包含：传真号码、电话号码、地址、姓名、职位、邮箱等。

8、珍*网数据泄露

发布时间：2025.1.17

泄露数量：40,000

售卖/发布人：2*****3

事件描述：2025.1.17某暗网数据交易平台有人宣称正在售卖一份珍*****网数据。卖家称此份数据共4万条，包含的数据字段有：姓名、手机号、身份证号、地址、职业等，此份数据的价格为260美元。

9、平银行数据泄露

发布时间：2025.1.22

泄露数量：23,000

售卖/发布人：2*****3

事件描述：2025.1.22某暗网数据交易平台有人宣称正在售卖一份平****银行数据。卖家称此份数据共2.4万条，数据字段包含：姓名、手机号、职业、运营商等，此份数据的价格为230美元。

10、海**集团数据泄露

发布时间：2025.1.22

泄露数量：180,000

售卖/发布人：2*****3

事件描述：2025.1.22某暗网数据交易平台有人宣称正在售卖一份海******集团数据。卖家称此份数据共18万条，数据字段包含：工号、姓名、手机号、邮箱、职务等，此份数据的价格为550美元。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2025年1月全球活跃的商业黑客组织（有勒索发布行为）共45个，公开的勒索事件共619件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的70%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2025年1月）达到一年前统计前端（2024年2月）的145.31%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

1)国际艾滋病疫苗行动

商业黑客组织INC Ransom在2025.1.15公布了国际艾滋病疫苗行动被勒索的信息。国际艾滋病疫苗行动并未按照INC Ransom的要求支付赎金，截止本篇报告发出之时，INC Ransom尚未发布更多国际艾滋病疫苗行动数据。

2)美国斯塔克航空航天公司

商业黑客组织INC Ransom在2025.1.23公布了美国斯塔克航空航天公司被勒索的信息。美国斯塔克航空航天公司并未按照INC Ransom的要求支付赎金，随后INC Ransom发布了他们获取到的所有美国斯塔克航空航天公司数据。

3)新加坡对外合作局

商业黑客组织Lynx在2025.1.28公布了新加坡对外合作局被勒索的信息。新加坡对外合作局应支付了赎金或正在与黑客组织进行谈判，截止本篇报告发出之时新加坡对外合作局已被Lynx在其官网下架。

4、典型黑客组织简介（Babuk-Bjorka）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec如需了解请翻阅往期报告。

本期为您介绍的是Babuk-Bjorka黑客组织。Babuk黑客组织最早于2020年12月现身，并在2021年上半年持续活跃。该组织采用双重勒索策略，即在加密数据的同时，窃取敏感信息以威胁受害者支付赎金。2021年4月，Babuk宣布结束其活动，并声称将公开其源代码，以便其他团伙使用。2024年2月，Babuk消失，未再出现新的受害者。

2025年1月，一自称为Babuk-Bjorka的黑客组织现身。该组织于2025年1月27日至28日期间，上传了超过60名受害者的数据。然而，大多数受害者均为此前已被其他黑客组织勒索过的组织机构。因此，该组织很可能仅是冒充Babuk，以吸引更多关注。Babuk-Bjorka声称其活动与Babuk相似，但其真实性受到质疑。

鉴于Babuk在暗网的知名度，Babuk-Bjorka可能试图利用这一点来增强其可信度。多数暗网研究机构认为该组织为模仿欺诈者。截至本报告发布时，Babuk-Bjorka在暗网上托管的网址已失效。这可能意味着该组织已停止活动，或其存在本身即为虚假。下图为Babuk-Bjorka的官网截图：