数据泄露态势月度报告 (2024年1月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数据泄露态势月度报告 (2024年1月) 北京数字世界咨询有限公司&北京零零信安科技有限公司 数字安全的三个元素分别为,安全能力、数字资产和数字活动。数字资产是安全能力的保护对象,数字活动是安全能力以及数字资产的服务对象,而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础,来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为,网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临,“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素,以数据安全为核心目标,即三元一核”的“数字安全三元论”,以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构,为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研,细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安 数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点,应注明来源。违反上述声明者,数世咨询将保留依法追究其相关责任的权利。 目录 第一章数据泄露市场2 1、国家分类2 2、行业分类3 3、泄露数量3 第二章事件抽样分析4 1、以色列国防军情报部门数据泄露4 2、81出口管制和受限技术美国军用飞机手册数据泄露5 3、法国司法部数据泄露6 4、美国国家信用社管理局(NCUA)数据泄露7 5、印度尼西亚民事登记局SIAK数据泄露7 6、台湾政府数据泄露8 7、*国海关总署数据出口进口数据泄露9 8、新**家养老服务(**)有限公司数据泄露9 9、纳**源数据泄露10 10、*抖**购物数据泄露11 目 录 第三章勒索软件和黑客组织12 1、活跃商业黑客组织综述12 2、黑客组织活跃度趋势13 3、本月典型事件说明14 (1)美国海军承包商奥斯塔14 (2)德国能源署15 (3)金**科技15 4、典型黑客组织简介(Alphv)16 第四章匿名社交社群21 在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。 为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。 本期报告的统计区间2023年12月。 第一章数据泄露市场 2023年12月共监控到全球DWM(DarkWebMarket)情报: ●深网和暗网有效情报307,478份; ●泄露数据的买卖情报份8,145份。 1、国家分类 其中美国是数据泄露第一大国,共泄露数据1,081份,其他数据泄露较多的国家还包括:中国、俄罗斯、英国、法国、印度、加拿大等。详情如下图所示: 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件,例如二要素数据(账号:密码/邮箱:密码)、LOG记录等。 2、行业分类 12月份行业属性数据占泄露数据总量约16%左右,泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、制造业、批发零售业等。84%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。 详情如下图所示: 3、泄露数量 12月份泄露的数据中包含数份超十亿的二要素个人数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在十亿行以上。 第二章事件抽样分析 1、以色列国防军情报部门数据泄露 发布时间:2023.12.22泄露数量: 售卖/发布人:blackfield 事件描述:2023.12.22某暗网数据交易平台有人宣称正在售卖一份以色列国防军情报部门数据。该黑客出售的数据中包含了以色列军事情报局8200部队以及以色列J6和网络防御局军队成员信息数据,数据包含了:电话、电子邮件、姓名、个人照片、家庭成员信息、他们目前在其中工作的新工作(公司)等个人数据,同时该黑客还上传了一些个人照片作为样例。该数据售卖的价格为50000美元。 2、81出口管制和受限技术美国军用飞机手册数据泄露 发布时间:2023.12.12泄露数量: 售卖/发布人:spectre123 事件描述:2023.12.12某暗网数据交易平台有人宣称正在售卖一份出口管制和受限技术美国军用飞机手册数据。据卖家称该数据总大小为5GB,价格为20000美元并且可议价。该作者并未上传样例,但留下了自己的telegram联系方式并留言道“样例只会发给真正的卖家”。 值得注意的是,该作者攻击发布的12篇帖子中,除一篇求购贴和两篇企业数据外,剩余的帖子内容全部为出售各国军事数据,包括但不限于:印度国防文件、北约、美国中情局、美国国防部、美国军队、韩国军事信息、菲律宾海军和陆军信息等。 3、法国司法部数据泄露 发布时间:2023.12.19泄露数量:17,789 售卖/发布人:WAIL_CRINAL 事件描述:2023.12.19某暗网数据交易平台有人宣称正在售卖一份法国司法部数据,总条数为17,789条,给出的样例中有姓名、电话、邮箱、地址等个人信息数据。 4、美国国家信用社管理局(NCUA)数据泄露 发布时间:2023.12.29泄露数量:1,524 售卖/发布人:InterSystems 事件描述:2023.12.29某暗网数据交易平台有人宣称正在售卖一份美国国家信用社管理局(NCUA)数据,给出的样例中可以看到的数据字段有:记录案卷号、年份、名字、姓氏、机构、关系等。该数据总条数为1,524条,价格暂时未知。 5、印度尼西亚民事登记局SIAK数据泄露 发布时间:2023.12.28泄露数量:217,750,843售卖/发布人:Bjorka 事件描述:2023.12.28某暗网数据交易平台有人宣称正在售卖一份印度尼西亚民事登记局SIAK数据。该数据总计217,750,843条,总大小为131GB,价格为5000美元。给出的样例中数据字段有:姓名、身份证号、出生日期、父/母亲姓名、父/母亲身份证号、地址等。 6、台湾政府数据泄露 发布时间:2023.12.17泄露数量: 售卖/发布人:carstongrice 事件描述:2023.12.17某暗网数据交易平台有人宣称正在售卖一份台湾政府数据。据卖家称该数据总大小为20GB的图片和文档表格,并附上了一些看起来像聊天记录、工作任务安排、合同等文件,该数据的价格以及真假性暂且未知。 7、*国海关总署数据出口进口数据泄露 发布时间:2023.12.26泄露数量:810,000 售卖/发布人:JustAnon69 事件描述:2023.12.26某暗网数据交易平台有人宣称正在售卖一份*国海关总署数据出口进口数据。据卖家称该数据共计810,000条,总大小为332MB。根据卖家提供的样例数据判断,该数据大概率为拼凑出来的假数据。 8、新**家养老服务(**)有限公司数据泄露 发布时间:2023.12.8 泄露数量: 售卖/发布人:boxfan 事件描述:2023.12.8某暗网数据交易平台有人宣称正在售卖一份新**家养老服务(**)有限公司数据。据卖家称该数据包括超过1万个与其数据库相关的文件以及电子表格和大量其他信息,泄露的数据内容主要包括保险和护理服务。该份数据被标价为5000美元。 9、纳**源数据泄露 发布时间:2023.12.29泄露数量:100,000 售卖/发布人:TheRenewablePower 事件描述:2023.12.8某暗网数据交易平台有人宣称正在售卖一份一家可再生能源电池存储和逆变器供应商纳**源的客户数据。据卖家称该数据共计100,000条,给出的样例中的数据字段有:姓名、邮箱、密码等。 10、*抖**购物数据泄露 发布时间:2023.12.5泄露数量:315,000,000 售卖/发布人:1******6 事件描述:2023.12.5某暗网数据交易平台有人宣称正在售卖一份购物数据。该份数据共计315,000,000条,总大小为49.2GB,售卖价格为888美元。卖家称该份数据的来源为*抖**,给出的样例中数据字段包括:姓名/昵称、电话、地址、订单内容。 第三章勒索软件和黑客组织 1、活跃商业黑客组织综述 2023年12月全球活跃的商业黑客组织(有勒索发布行为)共33个,公 开的勒索事件共401件,TOP10的黑客组织如下所示: TOP10的商业黑客组织公开发布的勒索事件占全部事件的51%,如下所示: 2、黑客组织活跃度趋势 下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所下降),但整体活跃度趋势正在逐步增加,统计末端(2023年12月)已达到一年前统计前端(2023年1月)的224%: 随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃黑客组织数量达到历史新高。如下图所示: 3、本月典型事件说明 由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明: (1)美国海军承包商奥斯塔 商业黑客组织HUNTERSINTERNATIONAL在2023.12.5公布了美国海军承包商奥斯塔被勒索的信息,该部门未按照勒索组织的要求在规定期限内支付赎金。HUNTERSINTERNATIONAL共窃取了奥斯塔多达13.2GB的数据,超5600份文件, 并公布在互联网上提供下载。如下图所示: (2)德国能源署 商业黑客组织Lockbit在2023.12.12公布了德国能源署被勒索的信息,该部门未按照勒索组织的要求在规定期限内支付赎金。Lockbit共窃取了德国能源署多达265.5GB的数据,并公布在互联网上提供下载。如下图所示: (3)金**科技 商业黑客组织Lockbit在2023.12.14公布了金**科技被勒索的信息,该部门未按照勒索组织的要求在规定期限内支付赎金,但Lockbit并未上传金 **科技的数据到官网上,同时在其官网上晒出了其与金**科技人员聊天记录。 聊天记录显示:从2023年12月2日起,金**科技一直试图和lockbit进行谈判来压低价格,但截止到2024年1月3日,lockbit始终未接受减少赎金。如下图所示: ■对该类事件,本文分析员的观点和立场如下: ⑴坚决支持对勒索软件和黑客组织说“NO!” ⑵企业CISO仍应加强自身安全建设,防止该类事件带来的损失; ⑶访问https://0.zone/DwmTab获得全部勒索事件监控 4、典型黑客组织简介(Alphv) 由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从 业人员对勒索软件和黑客组织的认知度。 已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida如需了解请翻阅往期报告。 本期介绍Alphv勒索组织。Alphv(黑猫)黑客组织最早于2021年11月开始活跃,是一个存活时间很久的勒索组织。