本报告由 数世咨询 & 零零信安 共同发布
在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。
为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。
本期报告的统计区间2024年5月。
一、数据泄露市场
2024年5月共监控到全球DWM(Dark Web Market)情报:
• 深网和暗网有效情报1,149,360份;
• 泄露数据的高价值买卖情报2,301份。
1、国家分类
其中美国是数据泄露第一大国,共泄露数据704份,其他数据泄露较多的国家还包括:中国、印度、英国、德国、法国、加拿大、俄罗斯、巴西等。详情如下图所示:
在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。
2、行业分类
5月份行业属性数据占泄露数据总量约79%左右,泄露的行业数据主要包括金融行业、信息和互联网行业、批发零售业、党政军与社会、文体娱乐业等。21%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示:
3、泄露数量
5月份泄露的数据中包含数份数十亿的二要素个人数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。
二、事件抽样分析
1、秘鲁军方文档数据泄露
发布时间:2024.5.29
泄露数量:12,970
售卖/发布人:Lucifer
事件描述:2024.5.29某暗网数据交易平台有人宣称正在售卖一份秘鲁军方文档数据。作者称此份数据中包含机密数据和非机密数据,总数量为12,970分pdf文件。
2、泰国DOI秘密文件数据泄露
发布时间:2024.5.25
泄露数量:2,931
售卖/发布人:R1g
事件描述:2024.5.25某暗网数据交易平台有人宣称正在售卖一份泰国DOI秘密文件数据。卖家称此份数据共包含2,931份文件,售价为3,000美元。
3、欧洲刑警组织数据泄露
发布时间:2024.5.10
泄露数量:
售卖/发布人:IntelBroker
事件描述:2024.5.10某暗网数据交易平台有人宣称正在售卖一份欧洲刑警组织数据。卖家称此次泄露的数据中包含:联盟员工、FOUO源代码、PDF文件、侦察文件和指导方针。此份数据的价格未知且卖家只支持门罗币交易。
4、美国陆军航空和导弹司令部数据泄露
发布时间:2024.5.15
泄露数量:
售卖/发布人:IntelBroker
事件描述:2024.5.15某暗网数据交易平台有人宣称正在售卖一份美国陆军航空和导弹司令部数据。卖家称此份数据是2023年8月通过攻击美国国防部得来的,损坏的数据包括:维护任务,以及一些pdf、png、txt文件。此份数据卖家并未提及价格,在该论坛关闭后通过联系卖家得知此份数据的价格为2,500美元。
5、美国犯罪数据库泄露
发布时间:2024.5.24
泄露数量:70,000,000
售卖/发布人:USDoD
事件描述:2024.5.24某暗网数据交易平台有人宣称正在售卖一份美国犯罪数据库。卖家称此份数据的来源是Nationalpublicdata.com,National Public Data是一家公共记录数据提供商,专门从事背景调查和欺诈预防。此份数据包含的字段有:姓名、地址、SSN社会安全号码、年龄、身高体重、犯罪日期等超50个字段,数据数量为7000万条。
6、普****道数据泄露
发布时间:2024.5.29
泄露数量:18,900
售卖/发布人:direct
事件描述:2024.5.29某暗网数据交易平台有人宣称正在售卖一份普****道数据。卖家称此份数据共包含普****道的18,900份内部文件数据,总大小为255GB。
7、香港特区居民资料数据泄露
发布时间:2024.5.25
泄露数量:
售卖/发布人:mrwan
事件描述:2024.5.25某暗网数据交易平台有人宣称正在售卖一份香港特区居民资料数据。此份数据包含的字段有:手机,全名,香港身份证,地区,街道,地址,此份数据卖家只批量出售:十万条的价格为5,000美元,一万条的价格为1,000美元。卖家称此份数据的来源为民******总署。
8、中国国内和国际学生信息数据泄露
发布时间:2024.5.13
泄露数量:1,020,779
售卖/发布人:Leaks9Bel
事件描述:2024.5.13某暗网数据交易平台有人宣称正在售卖一份中国国内和国际学生信息数据。卖家称此份数据共1020779条,数据字段有:姓名,电话,就读大学、研究领域等。该份数据的价格为3000美元。
9、x国公民保险数据泄露
发布时间:2024.5.24
泄露数量:100,000
售卖/发布人:mrwan
事件描述:2024.5.24某暗网数据交易平台有人宣称正在售卖一份x国公民保险数据。卖家称此份数据共十万条,包含的数据字段有:内部ID,代理ID,代理人,部门,部门ID,保险公司,保险,完整电话,性别,姓名等。此份数据的价格未知。
10.*****银行数据泄露
发布时间:2024.5.25
泄露数量:1,111,888
售卖/发布人:574600
事件描述:2024.5.25某暗网数据交易平台有人宣称正在售卖一份*****银行数据。卖家称此份数据有1,111,888条,包含的字段有:姓名,手机号,身份证号,银行卡号等,此份数据的价格为5000美元。
三、勒索软件和黑客组织
1、活跃商业黑客组织综述
2024年5月全球活跃的商业黑客组织(有勒索发布行为)共36个,公开的勒索事件共494件,TOP 10的黑客组织如下所示:
TOP 10的商业黑客组织公开发布的勒索事件占全部事件的73%,如下所示:
2、黑客组织活度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所增加),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年5月)达到一年前统计前端(2023年6月)的141.5%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3、本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
(1)美国密苏里州县
商业黑客组织Black suit在2024.5.11公布了美国密苏里州县被勒索的信息。黑客组织Black suit正在与该部门进行谈判,截止本篇报告发出之时,Black suit已经释放了约八分之一的该部门数据。
(2)巴西政府
商业黑客组织Arcus Media在2024.5.24公布了巴西政府被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,Arcus Media随后公布了窃取到的所有数据。
(3)舒特金属公司
商业黑客组织Cactus在2024.5.20公布了舒特金属公司被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金,Cactus随后公布了窃取到的所有数据。
4、本月涉及中国企业的勒索事件说明
在当今数字化时代,网络安全问题日益突出,勒索软件袭击已成为全球范围内的一大威胁,中国也不例外。近年来,我国频繁发生的勒索软件事件已经引起了广泛关注,但我们仍需进一步重视起来,以防范这一威胁。勒索组织的攻击手段日益多样化,其针对性强、隐蔽性高,一旦遭受攻击,可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户,都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明:
■ 对该类事件,本文分析员的观点和立场如下:
⑴ 坚决支持对勒索软件和黑客组织说“NO!”
⑵ 企业CISO仍应加强自身安全建设,防止该类事件带来的损失;
⑶ 访问 https://0.zone/DwmTab 获得全部勒索事件监控。
5、典型黑客组织简介(Akira)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters International、Play、Akira如需了解请翻阅往期报告。
Cactus于2023年3月开始首次行动,截止2024年5月底共发动了186次勒索行动,平均每个月就有超10名受害者。在一项关于勒索软件增长的研究中,SANS 研究所将Cactus追踪为当年增长最快的威胁行为者之一。这项研究还发现,2023年所有勒索软件攻击中有17%是由2022年不存在的新团体进行的。Cactus 是这群新威胁行为者中排名前五的威胁之一。该组织的名称来自勒索信的文件名“cAcTuS.readme.txt”。加密文件将重命名为扩展名 .CTS x,其中x是一个数字,在每次攻击中都会有所不同。Cactus是典型的双重勒索、勒索软件即服务 (RaaS)操作。运营商已证明能够快速发起新攻击,尤其是在响应新的CVE 时。该组织对网络安全团队构成了不断演变且具有挑战性的威胁。Cactus因2024年1月成功攻击施耐德电气而成为头条新闻。施耐德电气是一家法国跨国公司,在全球拥有数百个办事处,其中包括美国的几个办事处。该公司拥有数千家企业客户,能源和电力市场份额为 35.7%。只有可持续发展业务部门在此次事件中受到影响,但该部门的客户包括 Clorox、DHL、杜邦、希尔顿、百事可乐和沃尔玛。Cactus声称在启动勒索软件之前已经提取了施耐德 1.5TB 的数据。
以下是Cactus的官网界面:
下面是他们的规则介绍:
在其官网上留有第三方通讯联系方式:
四、匿名社交社群
5月份监控到匿名社交社群情报总数量12,477,881 条,提供的有效数据泄露样例下载4,542份。涉及到我国数据泄露的内容包括:保险信息、机票信息、学生信息、家长信息、车主信息、贷款信息、房主信息、购物信息等众多类型。
以下随机选取展示部分样本:
以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。
此外,检索到5月份使用匿名社交软件的活跃用户中,以“86(我国区号)”开头的手机号共发信息2,677条。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下为5月份使用“86”开头的手机号的TOP 10信息:
* 如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 dw@dwcon.cn 与我们联系。
《数据泄露态势月度报告(2024.6)》获取方式如下:
1、关注“数世咨询”公众号
2、后台回复“数据泄露态势”获取下载链接或点击阅读全文下载
本文为原创内容,版权归#数世咨询#所有。**欢迎文末分享、点赞、在看三连!**转载请联系后台。
— 【 THE END 】—
更多推荐
