《全球数据泄露态势月度报告》（2025年2月）

数据泄露

1天前

未标题-1官网318.png

本报告由数世咨询 & 零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2025年2月。

一、数据泄露市场

2025年2月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报140,800份；
泄露数据的高价值买卖情报4,955份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据634份，其他数据泄露较多的国家还包括：中国、印度、印尼、法国、马来西亚、俄罗斯、泰国、巴西等。详情如下图所示：

2、行业分类

2月份行业属性数据占泄露数据总量约79%左右，泄露的行业数据主要包括信息和互联网行业、党政军与社会、金融行业、批发零售业、教育行业等。21%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

2月份泄露的数据中包数十份数十亿三要素日志数据以及数份数十亿二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、国际刑警组织数据库泄露

发布时间：2025.2.6

泄露数量：

售卖/发布人：FutureSeeker

事件描述：2025.2.6某暗网数据交易平台有人宣称正在售卖一份国际刑警组织数据库。作者称此份数据大小为2.6GB，并提到这个数据库可能为一个名为“Relief”的数据库，这个数据库存储了毒品运输时包装信息以及有关药片标志和不同药物化学成分的信息。此份数据的数据字段有：姓名、电话、邮箱、单位部门名称、国家等。

2、孟加拉海军预算系统数据泄露

发布时间：2025.2.14

泄露数量：37,000

售卖/发布人：Meow

事件描述：2025.2.14某暗网数据交易平台有人宣称正在售卖一份孟加拉海军预算系统数据。作者称此份数据包含文档文件和个人文件，所涉及的人员有3.7万人。

3、巴基斯坦监狱数据泄露

发布时间：2025.2.14

泄露数量：

售卖/发布人：xploitleaks

事件描述：2025.2.14某暗网数据交易平台有人宣称正在售卖一份巴基斯坦监狱数据。卖家称此份数据大小为60GB，数据字段有囚犯的详细记录、囚犯的犯罪原因、囚犯的照片、囚犯的身份证照片、联系点、监狱历史、囚犯和工作人员的生物特征照片，此份数据的价格为1万美元。

4、莫斯科信息技术部数据泄露

发布时间：2025.2.20

泄露数量：

售卖/发布人：X0Frankenstein

事件描述：2025.2.20某暗网数据交易平台有人宣称正在售卖一份莫斯科信息技术部数据。作者称此份数据大小为1.3GB，解压后12.6GB，数据字段有银行卡、工作场所、车辆、地址、权限等。

5、伊拉克政府数据泄露

发布时间：2025.2.19

泄露数量：600,000

售卖/发布人：Exp1o5ive_Disorder

事件描述：2025.2.19某暗网数据交易平台有人宣称正在售卖一份伊拉克政府数据。卖家称此份数据包含超60万套护照和身份证以及其他的个人信息数据，价格为2000美元。

6、平*****保险数据泄露

发布时间：2025.2.16

泄露数量：10,000

售卖/发布人：Blastoise

事件描述：2025.2.16某暗网数据交易平台有人宣称正在售卖一份平*****保险数据。作者称此份数据大小为5GB，包含超1万个pdf文件数据，数据字段有：投保人信息、投保人姓名、身份证类型、手机号码、身份证、被保险人信息、序列号、被保险人名义、身份证号码、计划名称、购买份数、其他信息受益人、保险期限、保费、争议解决方式、保险期限，保险责任明细、特别协议、被保险人造成声明。

7、北京沃******代数据科技有限公司数据泄露

发布时间：2025.2.15

泄露数量：59,721,910

售卖/发布人：SkyWave

事件描述：2025.2.15某暗网数据交易平台有人宣称正在售卖一份北京沃******代数据科技有限公司数据。卖家称此份数据包括该公司的中国用户、登录记录以及联系人信息。数据字段有账号、密码、公司名称、联系人等，此份数据的价格为5000美元。

8、北京中设计公司数据泄露

发布时间：2025.2.28

泄露数量：59,721,910

售卖/发布人：boo

事件描述：2025.2.28某暗网数据交易平台有人宣称正在售卖一份中****设计公司数据。此份数据包含的数据字段有姓名、电话、邮箱、公司名称等。

9、中国*****汽车数据泄露

发布时间：2025.2.24

泄露数量：61,199

售卖/发布人：JumboJet

事件描述：2025.2.24某暗网数据交易平台有人宣称正在售卖一份中国*****汽车数据。作者称此份数据共61199条，包含的数据字段有区域,省份,经销商代码,经销商简称,经销商名称,上级经销商名称,直营经销商代码,直营经销商名称,系统开通时间,客户名称等。

10、珍****网数据泄露

发布时间：2025.2.21

泄露数量：40,000

售卖/发布人：732346

事件描述：2025.2.21某暗网数据交易平台有人宣称正在售卖一份珍****网数据。卖家称此份数据共4万条，包含的数据字段有姓名、手机号、身份证号、地址、职业等，此份数据的价格为350美元。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2025年2月全球活跃的商业黑客组织（有勒索发布行为）共46个，公开的勒索事件共1014件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的79%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2025年2月）达到一年前统计前端（2024年3月）的230.98%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

微信图片_20250318145528.png

1)美国金融服务公司

商业黑客组织Bianlian在2025.2.13公布了美国金融服务公司被勒索的信息。美国金融服务公司并未按照Bianlian的要求支付赎金，截止本篇报告发出之时，Bianlian尚未发布更多美国金融服务公司数据。

2)帕劳卫生部

商业黑客组织Qilin在2025.2.28公布了帕劳卫生部被勒索的信息。帕劳卫生部并未按照Qilin的要求支付赎金，截止本篇报告发出之时，Qilin尚未发布更多帕劳卫生部数据。

3)以色列警察

商业黑客组织Handala在2025.2.9公布了以色列警方被攻击的信息并释放了称全量数据2.1TB中的35万份的以色列警方数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。

以下为本月涉及中国企业的勒索事件说明：

微信图片_20250318145536.png

5、典型黑客组织简介（Hellcat）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog、Funksec、Babuk-Bjorka如需了解请翻阅往期报告。

本期为您介绍的是Hellcat黑客组织。Hellcat勒索组织自2024年10月首次现身以来，一直将攻击目标锁定在高价值领域，包括政府机构以及能源、教育等关键行业。该组织主要通过发动勒索软件攻击来获取赎金，其手段具有高度的专业性和隐蔽性。

HellCat 背后的主要操纵者是BreachForums 社区及其各个派系的高级成员。这些人物包括 Rey、Pryx、Grep 和IntelBroker等，他们与众多高价值目标的入侵有关。Hellcat勒索组织通常利用先进的加密技术对目标数据进行加密，致使受害者无法正常访问其关键信息。随后，该组织会向受害者提出赎金要求，以换取数据的解密密钥。这种攻击方式不仅对受害者的业务运营造成严重破坏，还可能引发数据泄露等次生风险。在一起事件中，Hellcat勒索组织对全球电气巨头施耐德电气发动了攻击，并在其勒索声明中提出了支付12.5万美元“法棍”作为赎金的无理要求，Hellcat还嘲讽称如果施耐德电气愿意公开承认此次数据泄露，那么赎金可以减少到6.25万美元，不过施耐德还是要以法棍面包进行支付。

这一行为不仅凸显了该组织对受害者进行羞辱的意图，也进一步凸显了其通过极端手段扩大自身影响力的目的。下图为Hellcat的暗网官网首页截图：

Hellcat勒索组织自2024年10月至2024年12月期间，并未明确设定固定的攻击目标，但其多数攻击对象均为高价值企业或政府机构。在此期间，该组织在其官方渠道公布了来自7个国家的不同公司和机构的攻击目标，具体如下：

微信图片_20250318145542.png

Hellcat成员均为著名黑客论坛breachforums或xss论坛用户或管理员，Hellcat成员大致按照工作职能分成三类：初始访问经纪人（贩卖系统访问权限）、恶意软件开发者以及数据经纪人（贩卖数据）。Hellcat组织凭借其成员的专业分工和外部支持，在网络犯罪领域形成了较为完整的产业链。从初始访问获取、恶意软件开发到数据销售，每个环节都由专业人员负责，确保了组织高效的运作和攻击活动的成功率。总的来说，Pryx负责所有运营，Rey是集团管理员，Grep和Gwap负责开发，Miyako和AnonBF负责初始访问销售。Hellcat在开发勒索软件方面得到了外部帮助，在这个开发阶段还得到了SoupsInSuits、SMeu和Sukob等用户的支持。

Hellcat并未将攻击目标局限于某一特定行业或部门，而是广泛涉及多个领域，涵盖从能源管理公司到教育机构等不同类型的机构和组织。这种目标选择的多样性表明其攻击策略具有高度的灵活性和针对性，能够根据不同行业的特点和需求，制定相应的攻击计划。无论是对能源管理公司关键基础设施的威胁，还是对教育机构数据安全的侵犯，都显示出其攻击手段的多样性和对不同领域安全漏洞的精准把握能力。下图Hellcat的共计凭证截图：

自2024年10月首次现身以来，Hellcat黑客组织通过一系列高调的网络攻击迅速引起了全球网络安全界的关注。然而，在其首次活跃后的一段时间内，该组织的活动频率有所降低，相关报道也逐渐减少，导致外界对其现状产生诸多猜测，甚至有传闻称组织内部成员因分歧而分道扬镳。尽管如此，通过对Hellcat组织成员的社交媒体账号以及其官方网站的持续观察，可以发现该组织并未如传闻般解散，而是依然保持一定的活跃度。综上所述，尽管Hellcat黑客组织在首次活跃后的一段时间内活动有所减少，但其仍通过社交媒体和官方网站保持对外联络，并且具备继续开展网络攻击的能力和意图。因此，网络安全界需对其保持高度警惕，相关机构也应加强自身网络安全防护，以应对可能的威胁。