数据泄露态势月度报告 (2023年10月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数据泄露态势月度报告 2023年10月 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字世界以网络连接为基础,以数据流动释放价值,以人工智能塑造未来。 数字安全以网络安全为基本手段,以数据安全为核心目的,支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界,安全共生! 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构、企业用户等合作伙伴提供数字安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司(以下简称数世咨询)。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目 录 第一章数据泄露概况2 1、按国别分类2 2、按行业分类3 3、泄露数量3 第二章重大事件抽样分析4 1、北约军事档案数据泄露4 2、CIA、DOD、NATO、雷神数据贩卖4 3、美国FBI数据泄露5 4、宗教极端主义组织ISIS数据泄露6 5、以色列国防部数据泄露6 6、北约数据泄露7 7、**空调数据泄露7 8、布**宫数据泄露8 9、电*信息6.3亿数据泄露8 10、福*之窗数据泄露9 第三章勒索软件和黑客组织11 目 录 1、活跃商业黑客组织综述11 2、黑客组织活度趋势12 3、本月典型事件说明13 (1)科威特财政部13 (2)福特公司14 (3)台湾裕信汽車14 4、典型黑客组织简介(Royal)15 第四章匿名社交社群18 •数据泄露态势月度报告(2023年10月)• 在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。 为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。 本期报告的统计区间2023年9月。 第一章数据泄露概况 2023年9月共监控到全球DWM(DarkWebMarket)情报: ●深网和暗网有效情报2,867,168份; ●泄露数据的买卖情报31,383份。 1、按国别分类 其其中美国是数据泄露第一大国,共泄露数据12,340份,其他数据泄露较多的国家还包括:法国、中国、德国、英国、俄罗斯、巴西、意大利、印度等。详情如下图所示: 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。 •数据泄露态势月度报告(2023年10月)• 2、按行业分类 9月份行业属性数据占泄露数据总量约11%左右,泄露的行业数据主要包括信息和通讯行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、政府和军队等。89%左右的泄露数据无明显行业属性,包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示: 3、泄露数量 9月份泄露的数据中包含一份据称1000亿条企业信息数据,数份超十亿的二要素个人数据泄露,因此除上述企业信息数据外,全球整体数据泄露量达到百亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在10亿行以上。 第二章重大事件抽样分析 1、北约军事档案数据泄露 涉及国家:北约 发布时间:2023.9.20 售卖/发布人:romanse3 事件描述:2023.9.20某暗网数据交易平台有人宣称贩卖北约军事档案,贩卖者连续发布了3部分内容,包含飞机、导弹、无人机、军舰等文件,部分内容如下截图所示。值得注意的是,该贩卖者之前未在数据交易平台出现过,并且其头像、签名(“伊拉克国家安全处于沉默之中”)均使用了阿拉伯语,数据样本源为阿拉伯网盘。数据真实性和其目的性难以考证。 2、CIA、DOD、NATO、雷神数据贩卖 涉及国家:美国、北约 •数据泄露态势月度报告(2023年10月)• 发布时间:2023.9.17 售卖/发布人:spectre123发布时间:2023.8.28 事件描述:2023.9.17某暗网数据交易平台有人宣称贩卖美国CIA、DOD、雷神公司和NATO数据,并释放出样例数据。贩卖者对该数据定价为4万美元,并可以讲价,但不接受分批碎片交易。该数据不排除造假的可能性。 3、美国FBI数据泄露 涉及国家:美国 发布时间:2023.8.7泄露数量:5.28GB售卖/发布人:透明 事件描述:该事件虽然发生于8月,但当时对事件的真实性存在严重怀疑,目前已确定事件的真实性,因此在本期报告中补充说明。2023.8.7透明团体发布该事件,宣称匿名者附属组织Lulzsec/Antisec对联邦调查局、执法机构和承包商发起一系列黑客攻击,并获取了5.28GB数据。该事件包含一系列数据,部分内容如下图所示。 4、宗教极端主义组织ISIS数据泄露 涉及国家:ISIS 发布时间:2023.9.12泄露数量:22,000 售卖/发布人:Prometheus69 事件描述:2023.9.12某暗网数据交易平台有人宣称宗教极端主义组织ISIS数据泄露,导致22000名组织战士身份泄露,包括姓名、电话号码、家庭住址、血型等信息。 5、以色列国防部数据泄露 涉及国家:以色列发布时间:2023.9.7 售卖/发布人:CyboDevil 事件描述:2023.9.7某暗网数据交易平台有人宣称获取并发布了以色列国防部数据,该数据包含姓名、项目组、电话号码、住宅电话、手机、电子邮件、出生日期、年龄、地址、性别、父亲姓名、原籍国等信息。 •数据泄露态势月度报告(2023年10月)• 6、北约数据泄露 发布时间:2023.9.30泄露数量:3,000 售卖/发布人:Siegedsec 事件描述:2023.9.30某暗网数据交易平台有人宣称获取和发布北约数据,据称该数据超过3000个文件,7.8GB压缩包,包含北约标准化办公室、北约投资司、物流网络、高级分布式学习等数据。这是该黑客组织第二次发布北约数据,上一次发布的数据包含844MB数据。 7、**空调数据泄露 发布时间:2023.9.24泄露数量:13,500,000 售卖/发布人:Blastoise 事件描述:2023.9.24某暗网数据交易平台有人宣称出售**空调维修数据,总量为1350万,并提供了样例数据。样例数据中显示,该数据库包含业主姓名、电话号码、维修单位、维修状态等。 8、布**宫数据泄露 发布时间:2023.9.15泄露数量:1.5GB 售卖/发布人:FBI-WARNING 事件描述:2023.9.15某暗网数据交易平台有人宣称布**宫数据,总量为1.5GB,包含所有游客的姓名、手机号码、微信号、身份证、机票信息、旅行社信息等,并提供了数十条样例数据。从样例数据来分析,其放出的样例有可能不是全部数据库表头。 9、电*信息6.3亿数据泄露 发布时间:2023.9.3 泄露数量:630,000,000 •数据泄露态势月度报告(2023年10月)• 售卖/发布人:ChinaManDan、chinadan、LandLord、agro等 事件描述:2023.9.3-9.6,在多个暗网数据交易平台出现多名数据售卖者宣称出售6.3亿电*数据。该贩卖信息最早于2023.4.25在Exp和XSS交易平台被同时发布,当时售价为8万美元,并提供1万数据样本。后于6月和8月 分别少量转售,售价5万美元。本次在不少于7个数据交易平台被大规模转售,售价降至1000美元。售卖者宣称数据来源于电*,包含姓名、身份证、地址、电话、卡号等信息。 10、福*之窗数据泄露 发布时间:2023.9.18泄露数量:350,000 售卖/发布人:zipperrr 事件描述:2023.9.18某暗网数据交易平台有人宣称获取并提供福*之窗35万用户数据,包括用户名、密码、邮箱等。截止本稿撰写之时发现该门户网站显示为停运状态。 •数据泄露态势月度报告(2023年10月)• 第三章勒索软件和黑客组织 1、活跃商业黑客组织综述 2023年9月全球活跃的商业黑客组织(有勒索发布行为)共37个,公开 的勒索事件共527件,TOP10的黑客组织如下所示: TOP10的商业黑客组织公开发布的勒索事件占全部事件的70%,如下所示: 2、黑客组织活度趋势 下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所下降),但整体活跃度趋势正在逐步增加,统计末端(2023年9月)已达到一年前统计前端(2022年10月)的253%: 随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃黑客组织数量达到历史新高。如下图所示: •数据泄露态势月度报告(2023年10月)• 3、本月典型事件说明 由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明: (1)科威特财政部 商业黑客组织Rhysida在2023.9.25公布了科威特财政部被勒索的信息,该部门未按照勒索组织的要求在规定期限内支付赎金。Rhysida共窃取了科威特财政部多达464GB的数据,合计348,979份文件,并公布在互联网上提供下载。如下图所示: (2)福特公司 商业黑客组织8base在2023.9.11对福特进行了入侵并发布了勒索信息,该公司未按照勒索组织的要求在规定期限内支付赎金。2023.9.18,8base将窃取的一部分文件在互联网上进行了发布并提供下载,这些文件包括:发票、收据、会计凭证、个人数据、证书、雇佣合同、大量机密信息、保密协议、客户个人档案等,共10GB压缩文件。如下图所示: (3)台湾裕信汽車 商业黑客组织Ragroup在2023.9.4公布了台湾裕信汽車被勒索的信息,该公司未按照勒索组织的要求在规定期限内支付赎金。Ragroup共窃取了台湾裕信汽車55GB的数据,包括管理部合約、裕信內部稽核、出納課、會計課、經理室、經分課等数据,并公布在互联网上提供下载。如下图所示: •数据泄露态势月度报告(2023年10月)• ■对该类事件,本文分析员的观点和立场如下: ⑴坚决支持对勒索软件和黑客组织说“NO!” ⑵企业CISO仍应加强自身安全建设,防止该类事件带来的损失; ⑶我们将与某些公益组织合作,为受到勒索和黑客组织攻击的单位提供免费技术支持,该计划预计在近期内上线。 4、典型黑客组织简介(Royal) 由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。 已经介绍过的黑客组织有:Lockbit3,如需了解请翻阅往期报告。 本期介绍Royal(皇家)勒索组织。Royal黑客组织最早于2022年底开始活跃,是一个比较“年轻”的黑客组织,但其整体活跃度较高,在不到1年的 时间中共发布了192起勒索公告,主要活跃期在2022年11月至2023年5月。 Royal勒索组织在活跃期内效率极高,活跃期间,勒索量和发布量仅次于Lockbit3、BlackCat等顶尖勒索组织。Royal的勒索金额大约从100万美元至1