《数据泄露态势月度报告》（2024年7月）| 附下载地址

本报告由 数世咨询 & 零零信安 共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年６月。

第一章　数据泄露市场

2024年6月共监控到全球DWM（Dark Web Market）情报：

• 深网和暗网有效情报189,525份；
• 泄露数据的高价值买卖情报3,069份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据723份，其他数据泄露较多的国家还包括：印度、中国、俄罗斯、巴西、英国、加拿大、德国等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

2、行业分类

6月份行业属性数据占泄露数据总量约72%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、文体娱乐业、批发零售业等。28%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。

详情如下图所示：

3、泄露数量

6月份泄露的数据中包含数份（数百万近千万的购物信息）数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数亿行以上。

第二章　事件抽样分析

1、北约数据泄露

发布时间：2024.6.14
泄露数量：
售卖/发布人：natohub

事件描述：2024.6.14某暗网数据交易平台有人宣称正在售卖一份北约数据库和北约机密文件数据。卖家称此份数据包括来自北约的49k成员/合作伙伴，机密文件和技术报告。文件的一些安全分类级别：NR(受北约限制)、NC(北约机密文件)、NS(北约秘书处)等。此份数据的价格卖家并未提及，卖家留下了自己的telegram联系方式以供买家联系。

2、泰国情报局数据泄露

发布时间：2024.6.29
泄露数量：
售卖/发布人：Leukemia

事件描述：2024.6.29某暗网数据交易平台有人宣称正在售卖一份泰国情报局数据。卖家称此份数据是攻击泰国皇家陆军情报局的信息监控系统得来的，泰国皇家陆军情报局利用这个系统来监视和监控政党、政治运动、非政府组织和大学生。卖家称该数据包含2019 年至 2024 年 5 月的 2,939 份机密文件和 PDF 文件。

3、泰国内部安全行动指挥部数据泄露

发布时间：2024.6.29
泄露数量：
售卖/发布人：Leukemia

事件描述：2024.6.29某暗网数据交易平台有人宣称正在售卖一份泰国内部安全行动指挥部数据。该黑客称此份数据是攻击泰国皇家武装部队的政治部门国内安全行动指挥部(ISOC)得来的，此份数据总大小为178 GB，其中包含许多机密文件、项目文件和各种格式的视频文件。

4、印度尼西亚通信和信息技术部数据泄露2亿条

发布时间：2024.6.30
泄露数量：200,000,000
售卖/发布人：Guzmanloeraxxx

事件描述：2024.6.30某暗网数据交易平台有人宣称正在售卖一份印度尼西亚通信和信息技术部数据。卖家称此份数据来自PUSAT DATA NASIONAL (PDN)印尼国家数据中心，此份数据共计200,000,000条，泄露的字段有：国民身份证号码(NIK)、家庭卡号码(NOKaruKeluarga)、全名(NamaLengkap)和完整地址(AlamatLengkap)。此份数据的价格卖家并未提及，更多样例与价格需要与卖家进行联系获取。

5、印度外交护照持有者数据泄露

发布时间：2024.6.23
泄露数量：
售卖/发布人：xenZen

事件描述：2024.6.23某暗网数据交易平台有人宣称正在售卖一份印度外交护照持有者数据。卖家称此份数据获取时间为2024年4月，文件总大小为25GB，解压后为45GB。此份数据包含的字段有：全名母亲、父亲姓名、居住地址历史、当前地址、联系电话、电子邮件、现任政府职位、护照号码。此份数据被卖家标价为20,000美元，一天后2024年6月24日，卖家称此份数据成功被售出。

6、【假】西安电子科技大学数据泄露

发布时间：2024.6.26
泄露数量：
售卖/发布人：DeathNoteHackers

事件描述：2024.6.26某暗网数据交易平台有人宣称正在售卖一份西安电子科技大学数据。发布者宣称“为了继续抗议中国对菲律宾的……我们现在正在泄露西安电子科技大学的数据，数据总量为625GB，包含：研究数据、数据集、zip 文件、配置文件、Matlab 文件、图像、数据库 zip 文件。”对此，我司在进行数据研判时，发现该数据被发布在百度网盘中，发布时间为2020-10-13，并且为实名发布。对该文件集进行检索，发现早在2021年1月4日，互联网上既有关于该文件的咨询。至此判断，该数据泄露发布为【假】。

该发布者在本黑客论坛的权限为普通注册用户（非VIP用户、高级用户等），注册论坛时间为是中菲仁爱礁事件的三天后2024年6月20日，发布的内容都具有明显的诋毁我国、亲菲律宾政治倾向，截止2024年7月15日，该发布者共计上传了5篇与中国组织相关的数据且每篇帖子都在歪曲事实抗议仁爱礁事件。结合0.zone分析员分析过的数据以及论坛对该发布者的评价，可以判断该发布者只是在弄虚作假，上传了一些毫无价值的文件以此博取眼球、哗众取宠。

7、台湾经济部*********处数据泄露

发布时间：2024.6.17
泄露数量：720,000
售卖/发布人：a*******2

事件描述：2024.6.17某暗网数据交易平台有人宣称正在售卖一份台湾经济部*********处数据。卖家称此份数据共包含72万条，数据字段有：身份證，姓名，性別，出生年月，方案，電話，電子郵箱，家庭住址。此份数据的价格为359美元。

8、中国公民贷款数据泄露

发布时间：2024.6.18
泄露数量：5,711,504
售卖/发布人：mrwan

事件描述：2024.6.18某暗网数据交易平台有人宣称正在售卖一份中国公民贷款数据。卖家称此份数据的字段有：手机号码、全名、ID号、贷款平台、贷款类型、贷款金额、位置。其中包括唯一手机号码:2,248,768条，具有完整名称的行:5,711,504条，有ID的行:35,04,911条。卖家称此份数据共有6个txt，总大小为144MB，该份数据的价格卖家并未提及。

9、****信息中心数据泄露

发布时间：2024.6.17
泄露数量：45,000
售卖/发布人：0xy0um0m

事件描述：2024.6.17某暗网数据交易平台有人宣称正在售卖一份****信息中心数据。卖家称此份数据共有超过45,000条，数据字段有：成员类型、用户名、邮箱、成员类型、用户名、邮箱、密码等。此份数据的价格卖家并未提及。

10、香港居民个人信息数据泄露

发布时间：2024.6.17
泄露数量：
售卖/发布人：BlackKing

事件描述：2024.6.17某暗网数据交易平台有人宣称正在售卖一份香港居民个人信息数据。卖家称此份数据是由香港民政部门泄露出来的，泄露的数据字段有：身份证号码nid，中文姓名，英文姓名，电话，地址。卖家只给出了部分样例，但此份数据的总条数以及价格并未被提及。同时卖家称：数据刚刚泄露，及时性非常好，可批量购买或整包购买，并留下了自己的联系方式。

第三章　勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年6月全球活跃的商业黑客组织（有勒索发布行为）共34个，公开的勒索事件共435件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的73%，如下所示：

2、黑客组织活跃度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年6月）达到一年前统计前端（2023年7月）的129.1%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

（1）普亚勒普部落

商业黑客组织Inc Ransom在2024.6.29公布了美国普亚勒普部落被勒索的信息。黑客组织Inc Ransom正在与该部门进行谈判，截止本篇报告发出之时，Inc Ransom还并未释放该部门数据。

（2）美国商业改进局

商业黑客组织Bianlian在2024.6.27公布了美国商业改进局被勒索的信息。黑客组织Bianlian正在与该部门进行谈判，截止本篇报告发出之时，Bianlian还并未释放该部门数据。

（3）迪拜市政府

商业黑客组织Daixin在2024.6.5公布了迪拜市政府被勒索的信息。该组织并未按照黑客组织的要求交付赎金，随后Daixin公布了他们获取到的所有数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

■ 对该类事件，本文分析员的观点和立场如下：

⑴ 坚决支持对勒索软件和黑客组织说“NO！”
⑵ 企业CISO仍应加强自身安全建设，防止该类事件带来的损失；
⑶ 访问https://0.zone/DwmTab获得全部勒索事件监控。

5、典型黑客组织简介（Abyss-Data）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、Play、Akira、Cactus如需了解请翻阅往期报告。

Abyss-Data于2023年3月开始首次行动，截止2024年6月底共发动了51次勒索行动。Abyss-Data主要针对VMware ESXi 环境，Abyss-Data是一个采用双重勒索的组织，托管一个基于 TOR 的网站，如果受害者不遵守威胁行为者的要求，就会在该网站上列出受害者及其被窃取的数据。对于 Abyss Locker 感染，初始访问可能有所不同。据观察，相关威胁行为者以弱 SSH 配置（SSH 暴力攻击）为目标，以此作为进入暴露服务器的手段。对于 Linux，Abyss Locker 有效负载源自 Babuk 代码库，功能非常相似。该勒索软件具有标准命令行界面，要求威胁行为者定义加密的目标路径。以下是Cactus的官网界面：