【数世咨询】全球数据泄露态势（2024.3）.docx

笳皿I数据泄露态势月度报告（2024年3月）北京数字世界咨询有限公司&北京零零信安科技有限公司数据泄露态势月度报告（2024年3月）北京数字世界咨询有限公司&北京零零信安科技有限公司数字活动数字安全的三个元素分别为，安全能力、数字资产和数字活动Q数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。数字安全能力模型研究的基础，来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构,网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告金委数世咨询&零零信安数世智库数字安全能力研究院版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。第一章数据泄露市场21、国家分类22、行业分类33、泄露数量3第二章事件抽样分析41、美国医疗机构primeimaging数据泄露42、美国国防部数据泄露43、阿根廷安全部队所有成员信息数据泄露54、印度外交部数据泄露65、印尼首都雅加达政府官员个人信息数据泄露76、中*信数据泄露87、*松*行数据泄露98、*国tg用户数据泄露99、*码通数据泄露1010、*外卖数据泄露10第三章勒索软件和黑客组织111、活跃商业黑客组织综述112、黑客组织活跃度趋势123、本月典型事件说明13(1)瓦皮蒂能源公司14(2)英菲尼迪美国14(3)富尔顿县政府144、典型黑客组织简介(huntersinternational)15第四章匿名社交社群18在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布数据泄露态势月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。本期报告统谕陋鹿2024俳2月。第一章数据泄露市场2024年2月共监控到全球DWM(DarkWebMarket)情报:深网和暗网有效情报289,375份;泄露数据的买卖情报份1,414份。数据泄露国家分类美国，464,33%中国，192,14%印度，54,4%俄罗斯,74,5%其他,326,1、国家分类其中美国是数据泄露第一大国，共泄露数据464份，其他数据泄露较多的国家还包括：中国、俄罗斯、印度、英国、印尼、法国等。详情如下图所示：保加利亚,15,1阿根廷，15,1%墨西哥,21,1%加拿大，21,1%德国,23,2%意大利,28,2%巴西，31,2%西班牙，32,2%法国，32,2%印尼，38,3%英国,48,3%在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据(账号：密码/邮箱：密码)、1.OG记录等。2、行业分类2月份行业属性数据占泄露数据总量约80%左右，泄露的行业数据主要包括信息和互联网行业、党政军与社会、金融行业、批发零售业、教育行业等。20%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示:数据泄露行业分类3、泄露数量2月份泄露的数据中包含数份数十亿的二要素个人数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿近百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数HHfc布以止。第二章事件抽样分析1、美国医疗机构primeimaging数据泄露发布时间：2024.2.1泄露数量：售卖/发布人：Everest事件描述：2024.2.1某暗网数据交易平台有人宣称正在售卖一份美国医疗机构primeimaging数据，数据总计大小共1.8TB,标价为20,000美元。该售卖者为黑客组织Everest成员在暗网数据交易平台的账号，随着勒索手段不断升级，黑客组织在勒索受害者的同时也将获取到的受害者数据售卖在各大数据交易平台上以此来要挟受害者或出售给受害者相关行业的竞争对手。1.argemedaldatabaseforsaleIQKA0(TK.a一N.52DCHD719O9CMKM*2QCW2、美国国防部数据泄露发布时间:2024.2.12泄露数量：售卖/发布人：TNG2R事件描述：2024.2.12某暗网数据交易平台有人宣称正在售卖一份美国国防部数据，该名黑客声称为了打击以色列和美国在加沙地区犯下的罪行而攻击并泄露了美国国防部的数据，此次数据泄露大小为1GB,该数据并未被标注价格，作者留下了自己的telegram联系方式以供买家联系。本月早些时候该黑客还上传了美国中央情报局数据:Illls1133113H13、阿根廷安全部队所有成员信息数据泄露发布时间:2024.2.27泄露数量:200,000售卖/发布人：waiterwhite事件描述：2024.2.27某暗网数据交易平台有人宣称正在售卖一份阿根廷安全部队所有成员信息数据，包括：联邦警察、机场警察、军队士兵和海军的C效世咨询CV姓名、编号和职位等信息数据。该份数据售价为O.75ETH,作者仅支持站内私信联系购买，并未留下其他的联系方式。4、印度外交部数据泄露发布时间：2024.2.22泄露数量:374,456售卖/发布人：1.eaks9Bel事件描述：2024.2.22某暗网数据交易平台有人宣称正在售卖一份印度外交部数据，泄露的总条数为374,456,具体字段有：名字、姓氏、电话号码、私人电子邮件、生日、地址、手机号码、性别、护照ID、外交ID等。该份数据的价格未知，作者声称正在等待印度政府机构给出价格。i,sz>,三;Bk3三三三三三三S*三三三三需三三Z三J'三三索史三ca，*.，?.l«.x«.4.a.ll.?.&，«.<.?.«.2.S.，复，A1.Xxs<mute4tMirotM3tmm?cwm三w>no0W3W41I1WH»einr»us?MMXZ42243eMHWIM7EImlwtSA2Mt2!1W5>CMMM3tnuvnn4Mm”OMnatwm»t三w11wVl)020m<r7Mt4imM*TUI81»T14MX20：1U«4Wacom»mxr:¾me>UMittziOem»MlOltMJjwnsaum)mk3C3taiQU22(I02iS011T>19)41«,462ns?Ins“aIlTOMMavftB3X4tSXlMMHl1.tOMW面<293iOK>H6IfWX52as»»mt>1n3:muaucDt11ITSMftm8>XCJM63Mplof5«T40314MUM?M&n«n：42mMn11w7ca11w三34246*32Mm械8F3YUIQ3K5、印尼首都雅加达政府官员个人信息数据泄露发布时间:2024.2.23泄露数量：400,000售卖/发布人：Surprisedbos事件描述：2024.2.23某暗网数据交易平台有人宣称正在售卖一份印尼首都雅加达政府官员个人信息数据，此次共泄露超400,000万个人信息数据，包括：姓名、邮箱、身份证号、职位身份等。作者称并不单独出售该份数据，而是出售可以获取到这些数据的工具，价格作者并未提及。咨询Mukkn10MRKAndA:19+274TH1.:2242a,*MW：19522.MW:*RCNIKIRAJU.MXP18*:198552W19J25,三lK:36ni269585t2.UlUEW:SEKO1.AHDASAR(G<RXP(TMUKM5,A1.MIAT.imiT.KERJA':J1.PCTAMBUUM11,-PfRAMGKATDAERAH"!aOINASPtllOIDIKAII<GUaU<GjaU)EMAI1.":rMktrMglagMM.3,iOHP:89632333636*6、中*信数据泄露发布时间:2024.2.23泄露数量：售卖/发布人：303事件描述：2024.2.23某暗网数据交易平台有人宣称正在售卖一份中*信数据，作者称该数据大小共计1.7TB,其中包含了超7,000个数据库和大量内部文件以及与当地政府的合同。该数据的价格作者并未提及，也并没有回复论坛上询价的留言。backupTaiwan4302MBFcMer1/18/2024183173TBFoMer2/1V2024.0026smb4BAKsmb5mb5-BAKsmb5*oldASiMTypeUSTBFbtder136X)6GBFoMer139<GRMder216.92GBFderDMeadded2/13/2024.19X)52/13/2024,19X)72/13/2024,06:462/13/2024.19:487、*松*行数据泄露发布时间：2024.2.19泄露数量：87,000,000售卖/发布人：FoxMan333事件描述：2024.2.19某暗网数据交易平台有人宣称正在售卖一份*松*行数据，此次数据共计泄露超87,000,000条包含个人姓名、手机号和身份证号的个人信息数据。8、*国tg用户数据泄露发布时间:2024.2.16泄露数量：30,000售卖/发布人：N*i事件描述：2024.2.16某暗网数据交易平台有人宣称正在售卖一份用*国手机号注册的匿名聊天软件telegram用户数据，本次数据共计30,000条，价格为2,000美元，数据字段：昵称、手机号、运营商、签名等。3万条申BB电报纸飞机TGJK号$2000.00rrr三8“二113三二三1.三9、*码通数据泄露发布时间:2024.2.15泄露数量：售卖/发布人：Henanovskij事件描述：2024.2.15某暗网数据交易平台有人宣称正在售卖一份*码通数据，此次数据泄露总计条数超14,800,000条大小为809.94MB的居民姓名、手机号和身份证号的个人信息数据。10、*外卖数据泄露发布时间：2024.2.9泄露数量：售卖/发布人：Henanovskij事件描述：2024.2.9某暗网数据交易平台有人宣称正在售卖一份*外卖数据，此次数据泄露总计条数超32,000,000条的姓名、手机号和地址的个人信息数据，该份数据的价格为599美元。第三章勒索软件和黑客组织1、活跃商业黑客组织综述2024年2月全球活跃的商业黑客组织（有勒索发布行为）共31个，公开的勒索事件共426件，TOP10的黑客组织如下所示：活跃商业黑客组织TOP10来自2024年2月数据泄露态势TOP10的商业黑客组织公开发布的勒索事件占全部事件的80%,如下所示:8base,24,6%play,25,Wackbasta,22,5%mogilevich,1%bianlianjakira,16,4%medusa,14,3%Zmeowj55,blacksuit5,1%trigona,4,1%incransom,4,itormous,6,1t,2,0%hunters,1.ockbit3,in,26%yss,61ransomhouse,7,2%ransomhub,7,2%force,2,everest,2,0%cuba,1,0%alphatocker,2,100cactus,2、黑客组织活跃度趋势下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所增加），整体活跃度趋势正在逐步增加，统计末端（2024年2月）达到一年前统计前端（2023年3月）的91.4%：勒索事件数量随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：3、本月典型事件说明由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：事件国家/组织时间黑客组织SaudiaMRO沙特技术公司2024/2/288baseIreland'sDepartmentofForeignAffairs爱尔兰外交部2024/2/27mogilevich航空机械公司2024/2/261.ockbit3STS航空集团2024/2/251.ockbit3fultoncountyga.gov富尔顿县政府2024/2/241.ockbit3RoncelliPlastics龙切利塑料公司2024/2/23bianlianMTM机器人2024/2/21ThreeAM英菲尼迪美国2024/2/19mogilevichWapitiEnergy瓦皮蒂能源公司2024/2/16HuntersinternationalAmericaMovil美洲移动公司2024/2/13trigona(1)瓦皮蒂能源公司商业黑客组织Huntersinternational在2024.2.16公布了美国能源公司瓦皮蒂能源公司被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，Huntersinternational在2024.2.22公布了窃取到的所有数据。(2)英菲尼迪美国商业黑客组织mogilevich在2024.2.16公布了汽车制造商英菲尼迪美国被勒索的信息。随后的几天内mogilevich在其暗网官网上标记了该条数据已被售出，但出售的价格以及买家未知。SO1.D(3)富尔顿县政府商业黑客组织1.OCkbit3在2024.2.14公布了富尔顿县政府被勒索的信息。该数据疑似涉及到美国大选热门人唐纳德特朗普相关的隐私数据，随后1.ockbit3的暗网官网于本月20日被联合执法部门封禁。24日，1.OCkbit3重新上线并再次上传了富尔顿县政府数据并给出7天时间交付赎金，声称截止到3月1日12:57前如并不支付赎金将公开窃取到的所有数据。周五清晨12:57前该数据被lockbit3下架，具体购买人暂时未知，有传闻提到可能是富尔顿县政府或美国其他政府执法机构支付了赎金。1.EAKEDDATA对该类事件，本文分析员的观点和立场如下；坚决支持对勒索软件和黑客组织说“N0!”企业CISO仍应加强自身安全建设，防止该类事件带来的损失；(3加访同获保余部熟索离和的叔曲获得全部勒索事件监控4、典型黑客组织简介(huntersinternational)由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。已经介绍过的黑客组织有：1.OCkbit3,Royal,Play,Rhysida,Alphv,8base如需了解请翻阅往期报告。本期介绍huntersinternational黑客组织。Huntersinternational于2023年10月在暗网上发布第一篇勒索信息，该组织因其源代码有60%与2023年1月被FBI攻破的黑客组织hive相似，因此被广泛认为是黑客组织hive的衍生，随后该组织在其暗网官网上发布了跟hive并无关系的声明。该组织活跃度很高，从2023年10月发布第一篇勒索信息开始，到2024年2月为止该黑客组织共计发布了72篇勒索信息，平均每个月有超10名受害者受到该组织的勒索。这些受害者的行业大多为：卫生医疗业、能源、制造业、党政军和社会、教育、批发零售业等。该组织创造了一种新的勒索方式：在该黑客组织获取到了某医疗机构后，单出找出该医疗机构的患者数据。勒索该医疗机构的同时也向这些患者以50美元一份的价格出售这些患者的个人信息数据，声称在患者支付50美元后不会泄露他们的个人信息数据。Huntersinternational拥有暗网tor地址的同时也有明网地址，两个网址内容相同：Huntersinternational不同于其他黑客组织只限制7天交付赎金的期限，其会根据该公司的营收以及规模判断：如果是大公司且获取到的数据属于重要机密数据，那么会在两个月内逐步按照数据的重要性升序释放数据，例如从人事数据到财务数据到机密工程数据，以此来要挟受害者支付赎金；如果是小公司则勒索不成一下释放全部数据：DnctOMres.>obDa4iomw-MJ(«*JCapvtCcapIbnceH>SSItecrvb<jWlMJ.”一C<<1ffk*ttenOocuaeMs在收到了赎金之后，该黑客组织并不会在官网上删除该篇帖子，而仅仅是关闭该篇帖子的下载权限，受害者的名称依旧会在其官网展示：第四章匿名社交社群2月份监控到匿名社交社群情报总数量8,041,940条，提供的有效数据泄露样例下载2,159份。涉及到我国数据泄露的内容包括：网购、电销、股票、投资、公积金、装修信息、社保信息、教师和学生信息等众多类型。以下随机选取展示部分样本：国1芦k1.!"那”、".匚rl?¥,r,*.t0G.nu'nn,三st,jr2.M,I.三JE,三fti山苏.M.MG.3H±4.*ce.彩.tm.'dR.¼4W,<K.*广，J*TWAgr.,工&广才高儿*r.代答，丁山0-1.V.UT1«HS.urJH.<*.三J”本,，.况山IaH.W.itG.tft.F«m,««<ax三*.mtr4.»?:.®r.,r*w,w.bw山，.，中,0，&不，5.J>.lFiaH,4三G.fi4丹丸石雷旦布HHS.r.C,u><.Hm<4K,*V-T,aS.Aitft1.tY.Xtt*,三Ka»i'.MC*,UMTJ:勾席,虏G.，S".，MQ.为7Q.1H.执忡巾.UH.43Ksi.Am.力匕C即一，一'<££awNWB9wmtWS2%.R.E“”U劣BZ"-冤公鼠SietTUO片内皙，££E安U货&<££Mtvawite÷三i<ir»u第0忖工房工用WJ丹0Z"a蜃1.QPU分&<，工及£房妥4。内”；要工具*“*秀世qqa*三uhwx.«x.ai安日皆，；.同；国n>"U9t*工舄B*wSN*9m安。&1111££舄三M三MtH；.«：-.*rru»5t*皙；BeSQmw*FIQ*UR1d的工mrcu*卜房房oru劣"&1»1"£星B三VJWIi,S1.SBYawMWMtefl1%J.劣依“£艮公或Brrjwttwiii5Mtvawftw*内”U90代NBtfM等*ft”八民人&MrrawfittwiR£；«£«Uw”彳BVEHHftRfll-。BtrraWSftiiWietSB*0MWAIM，&(t'TlfS0)99-VJNm>V<3*><÷eiH*r-w*ttv-仔】，；，：KXariHP(，“-tH÷riH<r*：*“，.»V»*:TDGQSE""K即注？，制干STl"雪*rnr«U-»2T*GidjU三.I?V七,翻'a!1u,TifHtrtvFQ”M.I<V三三ltdje(»9«tXaFee)9«9VBttRtlMff，：”»KV»T；KV»n.IwEffiMKS>2<J0-i*l91M*r-三MMB*r««，：”l-：/，:4"卜<rr，4f1“7，；,：依”,，X,A«，：:，4M:n(毛提8，制秀雪*TI,帜，+»I*质3%弘f要J"叱T7国'?力QA*.三*twF<e>wr-M三tftw<lasts-4wiWtv-VWieiresi-.jh三f11!rtV'YRV:：ItrI*？MT依“*，：，”IM4T-i')iv-V-.，二¥”布C9M!It三e<fw*?wq*rwirIW-11*A-Ilfc三<tXf5三>We-*三HtwXQU.*a*三maz:冬*弘，hi*iFf%住及»，««-a-3K田Q*x干营】野B»T*，Ef*Y''taH-I-w三iwe-MBnrv二痴亍*ED上E或山_.，.n*n<%«；<lV0-Vima*tt«UbSB厂%aB888Ra8%>A"88Rm8888臂鼻Ux>wn8aJ4ala4144hw寸叶hs>vr,11wnr11nh寸nhh廿IMl修2ZHHQ6(Uh7日18tl3:S2K*f*<V<aa3524*<COT:ST：19”伍伊<RiMccna汨必口Zrwwt4WM2>½e8n日C4：)3：9o2>l"icc取汨Si阶W但住点WR<¾24<01)jaIt4ft22w*f>a<MMSo¾t8ir：n：oo”传MKS月？>air：n：wfe"M"S20”3M日ir：»：99“初必01月2»011K97M*avMmeQl网21|T：»141WMfiaBWU33：*«oiftn>T：»:«wnH<mns椁smx：MWIfWASWU2W*01fll>a1T;»：J7WW14Va三IOlRwa1TXMw*f><vaas)2Mo为X日WfaB9BC诙<6向"日ie：M:<rWK1MlCHfS融汨XO:M:MW*1tAiUWsM日IO：M：MWtt*aM20226月"日UiMtCwa9Av4u3)xslb旧必“：6第24247X6的九IMHmgW42450?m%WMMtiT»乂乂79nwMti952424M5电丸"lftMtUW242477南九1Mt*U524244004图九IMrtetH.«7翅儿IUIftatS2""4M9BftWIefltxT9524249317南九伊年就订9S24241816弊3»651t5l>>liI55»en&7M三7Z2鬃B64*½56*40HIM?.FKM”19W7*19W女«01。Ma49i8*=-909W5,197SrW0l0三MBTrItMMUnI97221l'Im女MMflMMRlUl7Wnt女SnC3'i5041971八，八6,197,女rWOHK三2S'"W1+M11197O女0012乂工"2"1"M2u'i9乃女Il*V0W：tmMSfK三iMWT11VMv19H(双外'y20H)2fK*197S/1M八97S女松，,MO1O)*g8tS1>7(W7<1)fr以上数据仅为在匿名社交社群中，攻击者展示的样例数据，每份样例会提供数十至数百条不等。即：匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右，全数据量估算在1000万条以上。此外，检索到2月份使用匿名社交软件的活跃用户中，以“86（我国区号）”开头的手机号共发信息10,092条。使用匿名社交软件的用户，不会受到实名监管，其目的性值得考虑。以下为2月份使用“86”开头的手机号的TOP10信息：861；)7408814861<159035786U360123861*15933然IMH1831861MBHV6329861M初9423861i)MflB22861-b8221861三三三17615*如果您对数据泄露态势月度报告有任何问题或意见，包括引用、指正或合作,请通过电子邮件dwdwcon.Cn与我们联系。据W汇欧服工,内容事杼箜-O行业客户没IiR安量产3&8篇供性合作方式为户立合方嫌假普"楼一*S1.'通市研究方面,闻台发布襄中国敢字安全大记，中国数字安全能力字安全】00强,中玉数字安全产业统计等业内影旭力巨大的44开报告狗时，；30家郃委,大型国企等里位坦供各不定制化的内部西研报告.,>全投安全-中国数生信矶枸冬企业戢内MMttISffFA北京数字世界咨询育限公司（以下阖杵数世咨询）星JB内数字产业第三方调研咨湖机构，壬重业务为网烙安全产业领域的溶注积究、资源对播与行业咨询.在AB内网络安全产业的鼎有纤究领域,无论是专业性还是费汾于寓处，均处于业界领先地位.一二善>谢源对播方面，散世咨询目晌已对接玉内网络安全企业TOO然，以及150余M*资业务的资本方，住立了颈震且受N的沟通合作关系，包括8同搴办串议活动，投一产品与企业推行企业资孑整合X.'行业咨询方面，经常僮的为总值都P1.国提供健汉,企业培询及专家评审等咨词胺务.公号处址北京布东城区39口街962号另安小工R方网站：ww.（Mconx.n、联系101:W）WeOnXn数世咨询DigitalWoridConsulting数字安全领域独立第三方调研机构