数据泄露态势月度报告

数据泄露态势月度报告 （2023年10月） 北京数字世界咨询有限公司&北京零零信安科技有限公司 数据泄露态势月度报告 2023年10月 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、企业用户等合作伙伴提供数字安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目 录 第一章数据泄露概况2 1、按国别分类2 2、按行业分类3 3、泄露数量3 第二章重大事件抽样分析4 1、北约军事档案数据泄露4 2、CIA、DOD、NATO、雷神数据贩卖4 3、美国FBI数据泄露5 4、宗教极端主义组织ISIS数据泄露6 5、以色列国防部数据泄露6 6、北约数据泄露7 7、**空调数据泄露7 8、布**宫数据泄露8 9、电*信息6.3亿数据泄露8 10、福*之窗数据泄露9 第三章勒索软件和黑客组织11 目 录 1、活跃商业黑客组织综述11 2、黑客组织活度趋势12 3、本月典型事件说明13 （1）科威特财政部13 （2）福特公司14 （3）台湾裕信汽車14 ４、典型黑客组织简介（Royal）15 第四章匿名社交社群18 •数据泄露态势月度报告（2023年10月）• 在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。 为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。 本期报告的统计区间2023年9月。 第一章数据泄露概况 2023年9月共监控到全球DWM（DarkWebMarket）情报： ●深网和暗网有效情报2,867,168份； ●泄露数据的买卖情报31,383份。 1、按国别分类 其其中美国是数据泄露第一大国，共泄露数据12,340份，其他数据泄露较多的国家还包括：法国、中国、德国、英国、俄罗斯、巴西、意大利、印度等。详情如下图所示： 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。 •数据泄露态势月度报告（2023年10月）• 2、按行业分类 9月份行业属性数据占泄露数据总量约11%左右，泄露的行业数据主要包括信息和通讯行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、政府和军队等。89%左右的泄露数据无明显行业属性，包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示： 3、泄露数量 9月份泄露的数据中包含一份据称1000亿条企业信息数据，数份超十亿的二要素个人数据泄露，因此除上述企业信息数据外，全球整体数据泄露量达到百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在10亿行以上。 第二章重大事件抽样分析 1、北约军事档案数据泄露 涉及国家：北约 发布时间：2023.9.20 售卖/发布人：romanse3 事件描述：2023.9.20某暗网数据交易平台有人宣称贩卖北约军事档案，贩卖者连续发布了3部分内容，包含飞机、导弹、无人机、军舰等文件，部分内容如下截图所示。值得注意的是，该贩卖者之前未在数据交易平台出现过，并且其头像、签名（“伊拉克国家安全处于沉默之中”）均使用了阿拉伯语，数据样本源为阿拉伯网盘。数据真实性和其目的性难以考证。 2、CIA、DOD、NATO、雷神数据贩卖 涉及国家：美国、北约 •数据泄露态势月度报告（2023年10月）• 发布时间：2023.9.17 售卖/发布人：spectre123发布时间：2023.8.28 事件描述：2023.9.17某暗网数据交易平台有人宣称贩卖美国CIA、DOD、雷神公司和NATO数据，并释放出样例数据。贩卖者对该数据定价为4万美元，并可以讲价，但不接受分批碎片交易。该数据不排除造假的可能性。 3、美国FBI数据泄露 涉及国家：美国 发布时间：2023.8.7泄露数量：5.28GB售卖/发布人：透明 事件描述：该事件虽然发生于8月，但当时对事件的真实性存在严重怀疑，目前已确定事件的真实性，因此在本期报告中补充说明。2023.8.7透明团体发布该事件，宣称匿名者附属组织Lulzsec/Antisec对联邦调查局、执法机构和承包商发起一系列黑客攻击，并获取了5.28GB数据。该事件包含一系列数据，部分内容如下图所示。 4、宗教极端主义组织ISIS数据泄露 涉及国家：ISIS 发布时间：2023.9.12泄露数量：22,000 售卖/发布人：Prometheus69 事件描述：2023.9.12某暗网数据交易平台有人宣称宗教极端主义组织ISIS数据泄露，导致22000名组织战士身份泄露，包括姓名、电话号码、家庭住址、血型等信息。 5、以色列国防部数据泄露 涉及国家：以色列发布时间：2023.9.7 售卖/发布人：CyboDevil 事件描述：2023.9.7某暗网数据交易平台有人宣称获取并发布了以色列国防部数据，该数据包含姓名、项目组、电话号码、住宅电话、手机、电子邮件、出生日期、年龄、地址、性别、父亲姓名、原籍国等信息。 •数据泄露态势月度报告（2023年10月）• 6、北约数据泄露 发布时间：2023.9.30泄露数量：3,000 售卖/发布人：Siegedsec 事件描述：2023.9.30某暗网数据交易平台有人宣称获取和发布北约数据，据称该数据超过3000个文件，7.8GB压缩包，包含北约标准化办公室、北约投资司、物流网络、高级分布式学习等数据。这是该黑客组织第二次发布北约数据，上一次发布的数据包含844MB数据。 7、**空调数据泄露 发布时间：2023.9.24泄露数量：13,500,000 售卖/发布人：Blastoise 事件描述：2023.9.24某暗网数据交易平台有人宣称出售**空调维修数据，总量为1350万，并提供了样例数据。样例数据中显示，该数据库包含业主姓名、电话号码、维修单位、维修状态等。 8、布**宫数据泄露 发布时间：2023.9.15泄露数量：1.5GB 售卖/发布人：FBI-WARNING 事件描述：2023.9.15某暗网数据交易平台有人宣称布**宫数据，总量为1.5GB，包含所有游客的姓名、手机号码、微信号、身份证、机票信息、旅行社信息等，并提供了数十条样例数据。从样例数据来分析，其放出的样例有可能不是全部数据库表头。 9、电*信息6.3亿数据泄露 发布时间：2023.9.3 泄露数量：630,000,000 •数据泄露态势月度报告（2023年10月）• 售卖/发布人：ChinaManDan、chinadan、LandLord、agro等 事件描述：2023.9.3-9.6，在多个暗网数据交易平台出现多名数据售卖者宣称出售6.3亿电*数据。该贩卖信息最早于2023.4.25在Exp和XSS交易平台被同时发布，当时售价为8万美元，并提供1万数据样本。后于6月和8月 分别少量转售，售价5万美元。本次在不少于7个数据交易平台被大规模转售，售价降至1000美元。售卖者宣称数据来源于电*，包含姓名、身份证、地址、电话、卡号等信息。 10、福*之窗数据泄露 发布时间：2023.9.18泄露数量：350,000 售卖/发布人：zipperrr 事件描述：2023.9.18某暗网数据交易平台有人宣称获取并提供福*之窗35万用户数据，包括用户名、密码、邮箱等。截止本稿撰写之时发现该门户网站显示为停运状态。 •数据泄露态势月度报告（2023年10月）• 第三章勒索软件和黑客组织 1、活跃商业黑客组织综述 2023年9月全球活跃的商业黑客组织（有勒索发布行为）共37个，公开 的勒索事件共527件，TOP10的黑客组织如下所示： TOP10的商业黑客组织公开发布的勒索事件占全部事件的70%，如下所示： 2、黑客组织活度趋势 下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所下降），但整体活跃度趋势正在逐步增加，统计末端（2023年9月）已达到一年前统计前端（2022年10月）的253%： 随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃黑客组织数量达到历史新高。如下图所示： •数据泄露态势月度报告（2023年10月）• 3、本月典型事件说明 由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明： （1）科威特财政部 商业黑客组织Rhysida在2023.9.25公布了科威特财政部被勒索的信息，该部门未按照勒索组织的要求在规定期限内支付赎金。Rhysida共窃取了科威特财政部多达464GB的数据，合计348,979份文件，并公布在互联网上提供下载。如下图所示： （2）福特公司 商业黑客组织8base在2023.9.11对福特进行了入侵并发布了勒索信息，该公司未按照勒索组织的要求在规定期限内支付赎金。2023.9.18，8base将窃取的一部分文件在互联网上进行了发布并提供下载，这些文件包括：发票、收据、会计凭证、个人数据、证书、雇佣合同、大量机密信息、保密协议、客户个人档案等，共10GB压缩文件。如下图所示： （3）台湾裕信汽車 商业黑客组织Ragroup在2023.9.4公布了台湾裕信汽車被勒索的信息，该公司未按照勒索组织的要求在规定期限内支付赎金。Ragroup共窃取了台湾裕信汽車55GB的数据，包括管理部合約、裕信內部稽核、出納課、會計課、經理室、經分課等数据，并公布在互联网上提供下载。如下图所示： •数据泄露态势月度报告（2023年10月）• ■对该类事件，本文分析员的观点和立场如下： ⑴坚决支持对勒索软件和黑客组织说“NO！” ⑵企业CISO仍应加强自身安全建设，防止该类事件带来的损失； ⑶我们将与某些公益组织合作，为受到勒索和黑客组织攻击的单位提供免费技术支持，该计划预计在近期内上线。 ４、典型黑客组织简介（Royal） 由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。 已经介绍过的黑客组织有：Lockbit3，如需了解请翻阅往期报告。 本期介绍Royal（皇家）勒索组织。Royal黑客组织最早于2022年底开始活跃，是一个比较“年轻”的黑客组织，但其整体活跃度较高，在不到1年的 时间中共发布了192起勒索公告，主要活跃期在2022年11月至2023年5月。 Royal勒索组织在活跃期内效率极高，活跃期间，勒索量和发布量仅次于Lockbit3、BlackCat等顶尖勒索组织。Royal的勒索金额大约从100万美元至1