全球數(shù)據(jù)泄露態(tài)勢(shì)（2024.8）

數(shù)據(jù)泄露態(tài)勢(shì)月度報(bào)告（20248）數(shù)字安全的三個(gè)元素分別為，安全能力、數(shù)字資產(chǎn)和數(shù)字活動(dòng)。數(shù)字資產(chǎn)是安全能力的保護(hù)對(duì)象，數(shù)字活動(dòng)是安全能力以及數(shù)字資產(chǎn)的服務(wù)對(duì)象，而數(shù)據(jù)安全則是三元論的核心目標(biāo)。對(duì)于這四者關(guān)系的深度理解和相關(guān)技能掌握是做好數(shù)字安全工作的關(guān)鍵。20202022數(shù)世咨詢作為國(guó)內(nèi)獨(dú)立的第三方調(diào)研咨詢機(jī)構(gòu)，為監(jiān)管機(jī)構(gòu)、地方政府、投資機(jī)構(gòu).網(wǎng)安企業(yè)等合伙伙伴提供網(wǎng)絡(luò)安全產(chǎn)業(yè)現(xiàn)狀調(diào)研，細(xì)分技術(shù)領(lǐng)域調(diào)研、投融資對(duì)接、技術(shù)盡職調(diào)查、市場(chǎng)品牌活動(dòng)等調(diào)研咨詢服務(wù)。報(bào)告編委&零零信安數(shù)世智庫(kù)數(shù)字安全能力研究院版權(quán)聲明本報(bào)告版權(quán)屬于北京數(shù)字世界咨詢有限公司。違反上述聲明者，數(shù)世咨詢將保留依法追究其相關(guān)責(zé)任的權(quán)利。目 錄TOC\o"1-2"\h\z\u第一章 數(shù)據(jù)泄露市場(chǎng) 21、國(guó)家分類 22、行業(yè)分類 33、泄露數(shù)量 3第二章 事件抽樣分析 41、印度國(guó)防部員工數(shù)據(jù)泄露 42、北約TIDE(信息決策與執(zhí)行優(yōu)勢(shì)智庫(kù))數(shù)據(jù)泄露 53、美國(guó)陸軍、海軍、空軍、海岸警衛(wèi)隊(duì)數(shù)據(jù)泄露 64、委瑞內(nèi)拉軍隊(duì)數(shù)據(jù)泄露 75、巴西國(guó)有核能公司數(shù)據(jù)泄露 86、************廳數(shù)據(jù)泄露 107、臺(tái)灣*******黨員信息數(shù)據(jù)泄露 118、中國(guó)科學(xué)院數(shù)據(jù)泄露【假】 119、臺(tái)灣*****局官員名單數(shù)據(jù)泄露 1210、國(guó)家*********基金委數(shù)據(jù)泄露 13目錄目錄第三章 勒索軟件和黑客組織 151、活躍商業(yè)黑客組織綜述 152、黑客組織活躍度趨勢(shì) 163、本月典型事件說(shuō)明 17美國(guó)佛羅里達(dá)州衛(wèi)生部 17美國(guó)紐卡斯?fàn)柺姓?18美國(guó)城市圣羅莎 184、本月涉及中國(guó)企業(yè)的勒索事件說(shuō)明 195、典型黑客組織簡(jiǎn)介（BlackSuit） 20第四章 匿名社交社群 23在萬(wàn)物互聯(lián)的數(shù)字化時(shí)代，數(shù)據(jù)做為第五大生產(chǎn)要素，要實(shí)現(xiàn)充分的流動(dòng)才能創(chuàng)造出無(wú)限的價(jià)值。同時(shí)，數(shù)據(jù)安全風(fēng)險(xiǎn)也隨之而來(lái)。數(shù)據(jù)的流動(dòng)性意味著安全的巨大挑戰(zhàn)，數(shù)據(jù)泄露事件成為常態(tài)。為了掌握數(shù)據(jù)泄露態(tài)勢(shì)，應(yīng)對(duì)日益復(fù)雜的安全風(fēng)險(xiǎn)，數(shù)世咨詢聯(lián)合零零信安，基于0.zone安全開(kāi)源情報(bào)系統(tǒng)，共同發(fā)布《數(shù)據(jù)泄露態(tài)勢(shì)》月度報(bào)告。該系統(tǒng)監(jiān)控范圍包括明網(wǎng)、深網(wǎng)、暗網(wǎng)、匿名社群等約10萬(wàn)個(gè)威脅源。除了月度的數(shù)據(jù)泄露概況以外，報(bào)告還會(huì)針對(duì)一些典型的數(shù)據(jù)泄露事件進(jìn)行抽樣事件分析。如果發(fā)現(xiàn)影響較大的數(shù)據(jù)偽造事件，還會(huì)對(duì)其進(jìn)行分析和辟謠。本期報(bào)告的統(tǒng)計(jì)區(qū)間2024年7月。第一章 數(shù)據(jù)泄露市場(chǎng)2024年7月共監(jiān)控到全球DWM（DarkWebMarket）情報(bào)：49,8323,7301、國(guó)家分類777所示：在“其他”數(shù)據(jù)中包含其他國(guó)家以及無(wú)法準(zhǔn)確進(jìn)行國(guó)家分類的數(shù)據(jù)泄露事件，例如二要素?cái)?shù)據(jù)（賬號(hào):密碼/郵箱:密碼）、LOG記錄等。2、行業(yè)分類782%28%詳情如下圖所示：3、泄露數(shù)量7月份泄露的數(shù)據(jù)中包數(shù)份十幾億郵箱密碼二要素?cái)?shù)據(jù)泄露，因此除上述數(shù)據(jù)外，全球整體數(shù)據(jù)泄露量達(dá)到數(shù)百億行以上。排除該類數(shù)據(jù)泄露，具有明確泄露源的非二要素新數(shù)據(jù)泄露量約在數(shù)十億行以上。第二章 事件抽樣分析1、印度國(guó)防部員工數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.25泄露數(shù)量：1,800,000售賣/發(fā)布人：IMPORTANT_LEAK事件描述：2024.7.252024711.in得到了國(guó)防部員工的數(shù)據(jù)。數(shù)據(jù)字段：姓名、電話號(hào)碼、人員代碼、密碼等。賣家1,800,0003,000美元。2、北約TIDE(信息決策與執(zhí)行優(yōu)勢(shì)智庫(kù))數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.7泄露數(shù)量：售賣/發(fā)布人：natohub事件描述：2024.7.7某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份北約TIDE(643csv/3、美國(guó)陸軍、海軍、空軍、海岸警衛(wèi)隊(duì)數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.19泄露數(shù)量：25,152售賣/發(fā)布人：natohub事件描述：2024.7.199450868155711450：ID電子郵件、電話、單位。4、委瑞內(nèi)拉軍隊(duì)數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.31泄露數(shù)量：1,000,000/事件描述：2024.7.31委內(nèi)瑞拉軍隊(duì)網(wǎng)站（.ve）2024年委內(nèi)瑞拉大選“獲勝者”尼古拉斯﹒馬杜羅的報(bào)復(fù)。這是一種反對(duì)自由和民1005、巴西國(guó)有核能公司數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.18泄露數(shù)量：售賣/發(fā)布人：ZeroSevenGroup事件描：2024.7.18某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份巴西國(guó)有核能公司NuclebrásEquipamentosPesadosS.A（NUCLEP）數(shù)據(jù)。是一家巴西國(guó)有核公司，專門(mén)從事核工程和核、國(guó)防、石油和天然氣工業(yè)的型設(shè)備。該黑客稱獲取到了超250GB的數(shù)據(jù)，其中包括國(guó)防制造業(yè)、核制造采礦、軍用核潛艇、方案Autocad（3D、dwg等）、鈾礦開(kāi)采視頻和圖片、石油和天然氣、員工詳細(xì)信息（電子郵件、密碼、姓名等）等，此份數(shù)據(jù)的價(jià)未知。6、************廳數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.12泄露數(shù)量：售賣/發(fā)布人：WoyouLuma事件描述：2024.7.12某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份*********************以包括源類型、代碼、名稱、標(biāo)識(shí)信息、位置、主要負(fù)責(zé)人、成本和工作方向。數(shù)據(jù)庫(kù)包含許多位于中國(guó)、歐洲、北美和其他地方的來(lái)源。這些消息來(lái)源********15287、臺(tái)灣*******黨員信息數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.16泄露數(shù)量：1,053,000/事件描述：2024.7.16某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份臺(tái)灣*******2019*******105.3話，公司類別，公司郵編。8、中國(guó)科學(xué)院數(shù)據(jù)泄露【假】發(fā)布時(shí)間：2024.7.13泄露數(shù)量：售賣/發(fā)布人：DeathNoteHackers事件描述：2024.7.16某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份中國(guó)科學(xué)院數(shù)據(jù)。該發(fā)布者聲稱“此次數(shù)據(jù)泄露是為了回應(yīng)中國(guó)的欺凌，因此發(fā)布了中國(guó)科學(xué)院()數(shù)據(jù)，以表明對(duì)中國(guó)對(duì)菲律賓人員和菲律賓漁民的侵略行為。此舉是為了反對(duì)在西菲律賓海的持續(xù)騷擾和非法索賠?！鲍@取此份數(shù)據(jù)進(jìn)行解壓后，發(fā)現(xiàn)壓縮包里除了一些前端配置文件外，其余都是.ncDeathNoteHackers用戶文件等。在谷歌對(duì)其中隨機(jī)幾個(gè)文件進(jìn)行搜索檢索，發(fā)現(xiàn)此文件來(lái)源為中國(guó)科學(xué)院的公開(kāi)資料。從中國(guó)科學(xué)院的公開(kāi)資料隨機(jī)下載了幾個(gè)文件與黑客組織上傳的文件進(jìn)行對(duì)比，發(fā)現(xiàn)文件完全相同。至此可以判斷此黑客組織DeathNoteHackers他們所稱的機(jī)密數(shù)據(jù)，該數(shù)據(jù)為公開(kāi)可獲取的（疑似）氣象樣例數(shù)據(jù)。9、臺(tái)灣*****局官員名單數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.21泄露數(shù)量：4,000售賣/發(fā)布人：SorryBB事件描述：2024.7.21某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份臺(tái)灣*****4000150010、國(guó)家*********基金委數(shù)據(jù)泄露發(fā)布時(shí)間：2024.7.23泄露數(shù)量：1,000,000售賣/發(fā)布人：IMPORTANT_LEAK事件描述：2024.7.23某暗網(wǎng)數(shù)據(jù)交易平臺(tái)有人宣稱正在售賣一份國(guó)*********基金委數(shù)據(jù)。賣家稱“714日，部分人員入駐的中國(guó)國(guó)家********100此份數(shù)據(jù)的價(jià)格為1000美元。第三章 勒索軟件和黑客組織1、活躍商業(yè)黑客組織綜述20247（有勒索發(fā)布行為）42的勒索事件共445件，TOP10的黑客組織如下所示：TOP102、黑客組織活躍度趨勢(shì)下圖為近一年來(lái)黑客組織活躍度趨勢(shì)圖，從下圖可看出，雖然每個(gè)月全球商業(yè)黑客組織的活動(dòng)波動(dòng)性較強(qiáng)（本月與上月相比有所增加），整體活躍度趨勢(shì)正在逐步趨于穩(wěn)定，統(tǒng)計(jì)末端（2024年7月）達(dá)到一年前統(tǒng)計(jì)前端（2023年8月）的68.94%：TI+AI（）的攻擊方式逐步成熟，尤其是2023，WormGPTFraudGPT活躍的黑客組織的數(shù)量如下圖所示：3、本月典型事件說(shuō)明由于每月黑客組織行動(dòng)數(shù)量龐大，無(wú)法在報(bào)告中枚舉全部事件，分析員隨機(jī)抽取展示10個(gè)典型樣例事件，并對(duì)其中部分代表性事件進(jìn)行細(xì)節(jié)說(shuō)明：（1）美國(guó)佛羅里達(dá)州衛(wèi)生部RansomHub2024.7.2RansomHub（2）美國(guó)紐卡斯?fàn)柺姓甊ansomHub2024.7.13RansomHub所有該組織的數(shù)據(jù)。美國(guó)城市圣羅莎hunter2024.7.4hunter的數(shù)據(jù)。4、本月涉及中國(guó)企業(yè)的勒索事件說(shuō)明在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)安全問(wèn)題日益突出，勒索軟件襲擊已成為全球范圍內(nèi)的一大威脅，中國(guó)也不例外。近年來(lái)，我國(guó)頻繁發(fā)生的勒索軟件事件已經(jīng)引起了廣泛關(guān)注，但我們?nèi)孕柽M(jìn)一步重視起來(lái)，以防范這一威脅。勒索組織的攻擊手段日益多樣化，其針對(duì)性強(qiáng)、隱蔽性高，一旦遭受攻擊，可能會(huì)導(dǎo)致巨大的經(jīng)濟(jì)損失和社會(huì)影響。尤其是對(duì)于我國(guó)重要基礎(chǔ)設(shè)施、金融系統(tǒng)、企業(yè)以及個(gè)人用戶，都存在著潛在的安全隱患。以下為本月涉及中國(guó)企業(yè)的勒索事件說(shuō)明：對(duì)該類事件，本文分析員的觀點(diǎn)和立場(chǎng)如下：⑴堅(jiān)決支持對(duì)勒索軟件和黑客組織說(shuō)“NO！”⑵企業(yè)CISO仍應(yīng)加強(qiáng)自身安全建設(shè)，防止該類事件帶來(lái)的損失；⑶訪問(wèn)https://0.zone/DwmTab獲得全部勒索事件監(jiān)控。5、典型黑客組織簡(jiǎn)介（BlackSuit）業(yè)人員對(duì)勒索軟件和黑客組織的認(rèn)知度。已經(jīng)介紹過(guò)的黑客組織有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，HuntersInternational、BianLian、Akira、Cactus、Abyss-Data如需了解請(qǐng)翻閱往期報(bào)告。BlackSuitBlackSuit20235次行動(dòng)，截止20247147次勒索行動(dòng)。BlackSuit勒索軟件團(tuán)伙有著密切的聯(lián)系，而該團(tuán)伙本身就是臭名昭著的ContiBlackSuit并上傳不支付贖金的受害者數(shù)據(jù)到公共數(shù)據(jù)泄露網(wǎng)站。該組織因?qū)︶t(yī)療保健和教育部門(mén)以及其他關(guān)鍵行業(yè)的實(shí)體發(fā)動(dòng)重大攻擊而聞名。BlackSuit是一個(gè)私人行動(dòng)，沒(méi)有公共附屬機(jī)構(gòu)。BlackSuit(SMB)Royal獨(dú)立國(guó)家聯(lián)合體）中的實(shí)體似乎被排除在外。到目前為止，BlackSuit的目標(biāo)對(duì)象主要是醫(yī)療保健、教育、信息技術(shù)(IT)、政府、零售和制造業(yè)。網(wǎng)絡(luò)釣魚(yú)電子郵件是BlackSuit威脅行為者最成功的初始訪問(wèn)媒介之一。在獲得受害者網(wǎng)絡(luò)的訪問(wèn)權(quán)限后，BlackSuit行為者會(huì)禁用防病毒軟件并泄露大量數(shù)據(jù)，然后最終部署勒索軟件并加密系統(tǒng)。贖金要求通常在約100萬(wàn)美元至1000萬(wàn)美元之間，要求以比特幣支付。BlackSuit參與者總共要求超過(guò)5億美元贖金，最大的個(gè)人贖金要求為6000萬(wàn)美元。BlackSuit參與者表現(xiàn)出協(xié)商支付金額的意愿。最近，受害者收到BlackSuit參與者關(guān)于入侵BlackSuit網(wǎng)界面：詳情頁(yè)面中可以看到受害者的詳情以及底部的聯(lián)系方式：BlackSuit的官網(wǎng)上可供受害者聯(lián)系的界面：如受害者拒絕支付贖金，BlackSuit會(huì)把竊取到的受害者的數(shù)據(jù)放到其托管的服務(wù)器上以供他人下載：第四章 匿名社交社群7月份監(jiān)控到匿名社交社群情報(bào)總數(shù)量13