《数据泄露态势月度报告》（2024年4月）

本报告由数世咨询&零零信安共同发布

在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。

为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。

本期报告的统计区间2024年3月。

一、数据泄露市场

2024年3月共监控到全球DWM（Dark Web Market）情报：

• 深网和暗网有效情报290,865份；
•泄露数据的买卖情报份1,519份。

1、国家分类

其中美国是数据泄露第一大国，共泄露数据501份，其他数据泄露较多的国家还包括：中国、俄罗斯、印度、英国、印尼、西班牙、巴西等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

2、行业分类

3月份行业属性数据占泄露数据总量约84%左右，泄露的行业数据主要包括信息和互联网行业、党政军与社会、金融行业、批发零售业、文体娱乐业等。16%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

3、泄露数量

3月份泄露的数据中包含数份数十亿的二要素个人数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。

二、事件抽样分析

1、北约军事数据泄露

发布时间：2024.3.11
泄露数量：
售卖/发布人：aaron_bushnell

事件描述：2024.3.11某暗网数据交易平台有人宣称正在售卖一份北约军事数据。该卖家称他们窃取了超过5GB的数据，售价为20,000美元。卖家称此份数据包括4000个关于军事地图的敏感文档，在北约工作的雇员和军人的信息，秘密合同等。此黑客团队Aaron Bushnell的攻击对象主要是以色列和北约以及其成员国，他们声称所有售卖数据所得到的资金将用于对巴勒斯坦人道主义的支持。

2、FBI数据泄露

发布时间：2024.3.5
泄露数量：
售卖/发布人：Team1956

事件描述：2024.3.5某暗网数据交易平台有人宣称正在售卖一份美国联邦调查局（FBI）数据。此份数据售价为499美元，卖家称此份数据获取日期是2024年1月，泄露的数据字段有：身份证、电子邮件、地点、全名、号码、电话、机密文件、照片和其他数据。卖家还留下了他的telegram联系方式以供买家获取此数据的细节并购买。

3、DOD数据泄露

发布时间：2024.3.15
泄露数量：399,373
售卖/发布人：HikkI-Chan

事件描述：2024.3.15某暗网数据交易平台有人宣称正在售卖一份美国国防部（dod）数据。卖家于3月15日前后两次上传了共计399,373条数据。其中第一份数据包含姓名，电话，城市、职位、参加过什么战争等字段，第二份数据包含姓名、电话、邮箱、地址等字段。卖家称两份数据的来源均是美国国防部官方网站https://dod.hawaii.gov/。

4、俄罗斯军队领导数据泄露

发布时间：2024.3.20
泄露数量：739
售卖/发布人：malloyanon

事件描述：2024.3.20某暗网数据交易平台有人宣称正在售卖一份俄罗斯军队领导数据。此份数据的涉及部门有俄罗斯空降部队、地面部队、空军、防空部队、反舰导弹旅、海军等。数据样本包含用户名称，电话号码，军衔，职位等，价格暂时未知。

5、泰国内部安全行动指挥部数据泄露

发布时间：2024.3.6
泄露数量：
售卖/发布人：R1g

事件描述：2024.3.6某暗网数据交易平台有人宣称正在售卖一份泰国内部安全行动指挥部（Internal Security Operations Command，简称‘ISOC’）数据。内部安全行动指挥部（ISOC）是泰国皇家武装部队的政治部门。卖家称此份数据共200GB，包含大量绝密、机密项目以及操作文件并附上了一些样例作为证明，价格卖家并未提及。

6、***省公共资源交易中心数据泄露

发布时间：2024.3.24
泄露数量：
售卖/发布人：Nepali

事件描述：2024.3.24某暗网数据交易平台有人宣称正在售卖一份***省公共资源交易中心数据。卖家称此份数据大小为100TB，但并未给出任何样例也并未提及价格。

7、***省社会保障局数据泄露

发布时间：2024.3.12
泄露数量：
售卖/发布人：shiningboy

事件描述：2024.3.12某暗网数据交易平台有人宣称正在售卖一份***省社会保障局数据。卖家称此份数据共有380,000条，给出的样例中包含的字段有：姓名、手机号、公司名称、身份证号等。

8、*****置业搬迁服务有限公司数据泄露

发布时间：2024.3.7
泄露数量：3,269
售卖/发布人：Ynnian

事件描述：2024.3.7某暗网数据交易平台有人宣称正在售卖一份*****置业搬迁服务有限公司数据。该份数据共有3,269条，给出的样例中包含的字段有：ip地址、城市、姓名、电话、邮箱。

9、***集团高端客户数据泄露

发布时间：2024.3.25
泄露数量：100,000
售卖/发布人：b****9

事件描述：2024.3.25某暗网数据交易平台有人宣称正在售卖一份***集团高端客户数据。该份数据共有100,000条，售价为100美元。给出的样例中包含的字段有：姓名，电话，地址，身份证号等。

10、*国公民四要素数据泄露

发布时间：2024.3.7
泄露数量：400,000,000
售卖/发布人：ChinaFan

事件描述：2024.3.7某暗网数据交易平台有人宣称正在售卖一份*国公民四要素数据。卖家称该份数据共计四亿条，售价为4,000美元。给出的样例中包含的字段有：姓名，电话，地址，身份证号。

三、勒索软件和黑客组织

1、活跃商业黑客组织综述

2024年3月全球活跃的商业黑客组织（有勒索发布行为）共34个，公开的勒索事件共439件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的64%，如下所示：

2、黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所增加），整体活跃度趋势正在逐步增加，统计末端（2024年3月）达到一年前统计前端（2023年4月）的126.9%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3、本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

（1）美国田纳西州谢尔比县下属城市Bartlett

商业黑客组织lockbit3在2024.3.2公布了美国田纳西州谢尔比县下属城市Bartlett被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，随后lockbit3公布了窃取到的所有数据。

（2）联合国开发计划署

商业黑客组织8base在2024.3.4公布了联合国开发计划署被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，8base于3.27公布了窃取到的所有数据。

（3）大陆航空航天技术

商业黑客组织play在2024.3.6公布了大陆航空航天技术被勒索的信息。该部门未按照勒索组织的要求在规定期限内支付赎金，play于3.9公布了窃取到的所有数据。

4、本月涉及中国企业的勒索事件说明

在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：

■ 对该类事件，本文分析员的观点和立场如下：
① 坚决支持对勒索软件和黑客组织说“NO！”
② 企业CISO仍应加强自身安全建设，防止该类事件带来的损失；
③ 访问https://0.zone/DwmTab获得全部勒索事件监控

5、典型黑客组织简介（BianLian）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International如需了解请翻阅往期报告。

本期介绍BianLian黑客组织。BianLian勒索软件行动始于2021年底，攻击和技术持续发展到2024年。该黑客组织进行双重勒索行动：要求支付解密器费用以及不公开被盗数据。该黑客组织托管一个TOR的公共博客，用于发布受害者身份和被盗数据。在勒索初始阶段，BianLian并不会公开被害者的公司名称，只会写出该公司的简介。BianLian黑客组织针对多个行业，几乎没有任何歧视。攻击对象多数为制造业但也会对医疗保健、教育和政府实体实施攻击。BianLian的文件加密速度极快，全盘加密可能只需要几分钟甚至几秒。受害者在注意到发生异常情况之前就已完全加密。BianLian受害者被指示通过TOX或安全的onionmail地址与其进行接触。以下是BianLian官网页面：

BianLian黑客组织在其官方网站留下了tox和邮箱联系方式以供受害者来联系他们：

BianLian黑客组织会对受害者的规模以及收入综合进行评估以此来决定勒索金额。BianLian的官网对于受害者的标签分类相较于其他黑客组织显得非常清晰，会对受害者进行国家、行业以及公司所开展业务领域进行分类。并且在勒索不成释放数据时也会按照数据的类型进行分类归纳：

四、匿名社交社群

3月份监控到匿名社交社群情报总数量11,410,547条，提供的有效数据泄露样例下载942份。涉及到我国数据泄露的内容包括：基层事业单位人员信息、银行、网购、机票、股票、学生和家长信息、投资、公积金、装修信息、社保信息等众多类型。

以下随机选取展示部分样本：

以上数据仅为在匿名社交社群中，攻击者展示的样例数据，每份样例会提供数十至数百条不等。即：匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右，全数据量估算在900万条以上。

此外，检索到3月份使用匿名社交软件的活跃用户中，以“86（我国区号）”开头的手机号共发信息10,092条。使用匿名社交软件的用户，不会受到实名监管，其目的性值得考虑。以下为3月份使用“86”开头的手机号的TOP 10信息：

—【 THE END 】—