全球数据泄露态势（2024.8）

数据泄露态势月度报告（20248）数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。20202022数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委&零零信安数世智库数字安全能力研究院版权声明本报告版权属于北京数字世界咨询有限公司。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。目 录TOC\o"1-2"\h\z\u第一章 数据泄露市场 21、国家分类 22、行业分类 33、泄露数量 3第二章 事件抽样分析 41、印度国防部员工数据泄露 42、北约TIDE(信息决策与执行优势智库)数据泄露 53、美国陆军、海军、空军、海岸警卫队数据泄露 64、委瑞内拉军队数据泄露 75、巴西国有核能公司数据泄露 86、************厅数据泄露 107、台湾*******党员信息数据泄露 118、中国科学院数据泄露【假】 119、台湾*****局官员名单数据泄露 1210、国家*********基金委数据泄露 13目录目录第三章 勒索软件和黑客组织 151、活跃商业黑客组织综述 152、黑客组织活跃度趋势 163、本月典型事件说明 17美国佛罗里达州卫生部 17美国纽卡斯尔市政府 18美国城市圣罗莎 184、本月涉及中国企业的勒索事件说明 195、典型黑客组织简介（BlackSuit） 20第四章 匿名社交社群 23在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于0.zone安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。本期报告的统计区间2024年7月。第一章 数据泄露市场2024年7月共监控到全球DWM（DarkWebMarket）情报：49,8323,7301、国家分类777所示：在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。2、行业分类782%28%详情如下图所示：3、泄露数量7月份泄露的数据中包数份十几亿邮箱密码二要素数据泄露，因此除上述数据外，全球整体数据泄露量达到数百亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。第二章 事件抽样分析1、印度国防部员工数据泄露发布时间：2024.7.25泄露数量：1,800,000售卖/发布人：IMPORTANT_LEAK事件描述：2024.7.252024711.in得到了国防部员工的数据。数据字段：姓名、电话号码、人员代码、密码等。卖家1,800,0003,000美元。2、北约TIDE(信息决策与执行优势智库)数据泄露发布时间：2024.7.7泄露数量：售卖/发布人：natohub事件描述：2024.7.7某暗网数据交易平台有人宣称正在售卖一份北约TIDE(643csv/3、美国陆军、海军、空军、海岸警卫队数据泄露发布时间：2024.7.19泄露数量：25,152售卖/发布人：natohub事件描述：2024.7.199450868155711450：ID电子邮件、电话、单位。4、委瑞内拉军队数据泄露发布时间：2024.7.31泄露数量：1,000,000/事件描述：2024.7.31委内瑞拉军队网站（.ve）2024年委内瑞拉大选“获胜者”尼古拉斯﹒马杜罗的报复。这是一种反对自由和民1005、巴西国有核能公司数据泄露发布时间：2024.7.18泄露数量：售卖/发布人：ZeroSevenGroup事件描：2024.7.18某暗网数据交易平台有人宣称正在售卖一份巴西国有核能公司NuclebrásEquipamentosPesadosS.A（NUCLEP）数据。是一家巴西国有核公司，专门从事核工程和核、国防、石油和天然气工业的型设备。该黑客称获取到了超250GB的数据，其中包括国防制造业、核制造采矿、军用核潜艇、方案Autocad（3D、dwg等）、铀矿开采视频和图片、石油和天然气、员工详细信息（电子邮件、密码、姓名等）等，此份数据的价未知。6、************厅数据泄露发布时间：2024.7.12泄露数量：售卖/发布人：WoyouLuma事件描述：2024.7.12某暗网数据交易平台有人宣称正在售卖一份*********************以包括源类型、代码、名称、标识信息、位置、主要负责人、成本和工作方向。数据库包含许多位于中国、欧洲、北美和其他地方的来源。这些消息来源********15287、台湾*******党员信息数据泄露发布时间：2024.7.16泄露数量：1,053,000/事件描述：2024.7.16某暗网数据交易平台有人宣称正在售卖一份台湾*******2019*******105.3话，公司类别，公司邮编。8、中国科学院数据泄露【假】发布时间：2024.7.13泄露数量：售卖/发布人：DeathNoteHackers事件描述：2024.7.16某暗网数据交易平台有人宣称正在售卖一份中国科学院数据。该发布者声称“此次数据泄露是为了回应中国的欺凌，因此发布了中国科学院()数据，以表明对中国对菲律宾人员和菲律宾渔民的侵略行为。此举是为了反对在西菲律宾海的持续骚扰和非法索赔。”获取此份数据进行解压后，发现压缩包里除了一些前端配置文件外，其余都是.ncDeathNoteHackers用户文件等。在谷歌对其中随机几个文件进行搜索检索，发现此文件来源为中国科学院的公开资料。从中国科学院的公开资料随机下载了几个文件与黑客组织上传的文件进行对比，发现文件完全相同。至此可以判断此黑客组织DeathNoteHackers他们所称的机密数据，该数据为公开可获取的（疑似）气象样例数据。9、台湾*****局官员名单数据泄露发布时间：2024.7.21泄露数量：4,000售卖/发布人：SorryBB事件描述：2024.7.21某暗网数据交易平台有人宣称正在售卖一份台湾*****4000150010、国家*********基金委数据泄露发布时间：2024.7.23泄露数量：1,000,000售卖/发布人：IMPORTANT_LEAK事件描述：2024.7.23某暗网数据交易平台有人宣称正在售卖一份国*********基金委数据。卖家称“714日，部分人员入驻的中国国家********100此份数据的价格为1000美元。第三章 勒索软件和黑客组织1、活跃商业黑客组织综述20247（有勒索发布行为）42的勒索事件共445件，TOP10的黑客组织如下所示：TOP102、黑客组织活跃度趋势下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所增加），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年7月）达到一年前统计前端（2023年8月）的68.94%：TI+AI（）的攻击方式逐步成熟，尤其是2023，WormGPTFraudGPT活跃的黑客组织的数量如下图所示：3、本月典型事件说明由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：（1）美国佛罗里达州卫生部RansomHub2024.7.2RansomHub（2）美国纽卡斯尔市政府RansomHub2024.7.13RansomHub所有该组织的数据。美国城市圣罗莎hunter2024.7.4hunter的数据。4、本月涉及中国企业的勒索事件说明在当今数字化时代，网络安全问题日益突出，勒索软件袭击已成为全球范围内的一大威胁，中国也不例外。近年来，我国频繁发生的勒索软件事件已经引起了广泛关注，但我们仍需进一步重视起来，以防范这一威胁。勒索组织的攻击手段日益多样化，其针对性强、隐蔽性高，一旦遭受攻击，可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户，都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明：对该类事件，本文分析员的观点和立场如下：⑴坚决支持对勒索软件和黑客组织说“NO！”⑵企业CISO仍应加强自身安全建设，防止该类事件带来的损失；⑶访问https://0.zone/DwmTab获得全部勒索事件监控。5、典型黑客组织简介（BlackSuit）业人员对勒索软件和黑客组织的认知度。已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，HuntersInternational、BianLian、Akira、Cactus、Abyss-Data如需了解请翻阅往期报告。BlackSuitBlackSuit20235次行动，截止20247147次勒索行动。BlackSuit勒索软件团伙有着密切的联系，而该团伙本身就是臭名昭著的ContiBlackSuit并上传不支付赎金的受害者数据到公共数据泄露网站。该组织因对医疗保健和教育部门以及其他关键行业的实体发动重大攻击而闻名。BlackSuit是一个私人行动，没有公共附属机构。BlackSuit(SMB)Royal独立国家联合体）中的实体似乎被排除在外。到目前为止，BlackSuit的目标对象主要是医疗保健、教育、信息技术(IT)、政府、零售和制造业。网络钓鱼电子邮件是BlackSuit威胁行为者最成功的初始访问媒介之一。在获得受害者网络的访问权限后，BlackSuit行为者会禁用防病毒软件并泄露大量数据，然后最终部署勒索软件并加密系统。赎金要求通常在约100万美元至1000万美元之间，要求以比特币支付。BlackSuit参与者总共要求超过5亿美元赎金，最大的个人赎金要求为6000万美元。BlackSuit参与者表现出协商支付金额的意愿。最近，受害者收到BlackSuit参与者关于入侵BlackSuit网界面：详情页面中可以看到受害者的详情以及底部的联系方式：BlackSuit的官网上可供受害者联系的界面：如受害者拒绝支付赎金，BlackSuit会把窃取到的受害者的数据放到其托管的服务器上以供他人下载：第四章 匿名社交社群7月份监控到匿名社交社群情报总数量13