本报告由数世咨询 & 零零信安 共同发布
在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。
为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。
本期报告的统计区间2024年11月。
2024年11月共监控到全球DWM(Dark Web Market)情报:
深网和暗网有效情报447,703份;
泄露数据的高价值买卖情报4,627份。
1、国家分类
其中美国是数据泄露第一大国,共泄露数据886份,其他数据泄露较多的国家还包括:印度、中国、英国、法国、英国、泰国、马来西亚、俄罗斯等。详情如下图所示:
2、行业分类
11月份行业属性数据占泄露数据总量约61%左右,泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、批发零售业、教育行业等。39%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示:
3、泄露数量
11月份泄露的数据中包数份数十亿三要素数据以及数份数亿二要素数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。
1、印度尼西亚国民军陆军TNI-AD数据泄露
事件描述:2024.11.16某暗网数据交易平台有人宣称正在售卖一份印度尼西亚国民军陆军TNI-AD数据。作者称数据来自2018年至2022年TNI-AD服务器的数据库和一些文件,它包含NIP、电子邮件、NRP、姓名、出生日期、地址和有关炸弹恐怖行动请求的信件等数据,此份数据的大小以及价格作者并未提及。
2、越南胡志明市疾病控制中心数据泄露
事件描述:2024.11.13某暗网数据交易平台有人宣称正在售卖一份越南胡志明市疾病控制中心数据。数据字段包括:全名、性别、出生日期、电话号码、地址。此份数据总条数为3,381,975条,价格为10000美元。
3、以色列空军数据泄露
事件描述:2024.11.1某暗网数据交易平台有人宣称正在售卖一份以色列空军数据。卖家称其中包含:海法空军基地、哈佐尔空军基地、奥夫达空军基地、内瓦提姆空军基地、拉马特大卫空军基地、拉蒙空军基地、空军基地电话号码、密加空军基地、空军特种部队,数据字段有:级别、职位、服务记录以及相关培训或资格。
4、印度医学理事会ICMR数据泄露
事件描述:2024.11.1某暗网数据交易平台有人宣称正在售卖一份印度医学理事会ICMR数据。卖家称此份数据曾被以8万美元的价格出售,现以3000美元的价格再次出售。
5、日本劳动厚生省数据泄露
事件描述:2024.11.28某暗网数据交易平台有人宣称正在售卖一份日本劳动厚生省数据。此份数据共2000万条,数据字段有:个人番号、出生日期、姓名、地址、电话、年薪等。此份数据的价格为800美元。
6、 中国香港珠宝店sucreje*elry数据泄露
事件描述:2024.11.6某暗网数据交易平台有人宣称正在售卖一份中国香港珠宝店sucreje*elry数据。此份数据共2079223条,数据字段包括:姓名、电话、地址、邮箱等个人信息,此份数据的价格未知。
7、湖**学生数据泄露
事件描述:2024.11.4某暗网数据交易平台有人宣称正在售卖一份湖**学生数据。卖家称此份数据包含了此地的幼儿园、小学、初中、高中、中专以及大专共160万条学生信息数据,此份数据的价格为15美元。
8、**京***用户数据泄露
事件描述:2024.11.23某暗网数据交易平台有人宣称正在售卖一份**京***用户数据。卖家称此份数据大小为13.1GB,总量超1.4亿条,此份数据应为之前流出的老密数据。
9、北京中科***石科技有限公司数据泄露
事件描述:2024.11.19某暗网数据交易平台有人宣称正在售卖一份北京中科***石科技有限公司数据。此份数据共82354条,数据字段:ID、用户名、密码等。
10、江***全球通数据泄露
事件描述:2024.11.9某暗网数据交易平台有人宣称正在售卖一份江***全球通数据。此份数据共240万条,数据字段有:姓名、身份证号、手机号,此份数据的价格为300美元。
1、活跃商业黑客组织综述
2024年11月全球活跃的商业黑客组织(有勒索发布行为)共38个,公开的勒索事件共573件,TOP
10的黑客组织如下所示:
TOP
10的商业黑客组织公开发布的勒索事件占全部事件的66%,如下所示:
2、黑客组织活度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所减少),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年11月)达到一年前统计前端(2023年12月)的142.89%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3、本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
事件 | 国家/组织 | 时间 | 黑客组织 |
http://www.gob.mx | 墨西哥政府 | 2024/11/11 | RansomHub |
coppelltx.gov | 德克萨斯州科佩尔市政府 | 2024/11/24 | RansomHub |
STIIIZY | 史蒂芬 | 2024/11/11 | Everest |
Government of the People | 孟加拉国政府 | 2024/11/25 | Killsec |
American Addiction Centers | 美国戒毒中心 | 2024/11/20 | Rhysida |
http://www.hivepowerengineering.com | 蜂巢电力工程有限公司 | 2024/11/19 | Play |
Vector Transport (vectortransport.com) | 矢量交通工具 | 2024/11/11 | Fog |
TWRU CPAs & Financial Advisors | TWRU 注册会计师和财务顾问 | 2024/11/25 | BianLian |
http://www.pbsaerospace.com | Pbs aero space | 2024/11/27 | INC |
Signal Health Washington
(signalhealthwa.com) | 信号健康华盛顿 | 2024/11/26 | Fog |
1)美国德克萨斯州科佩尔市政府
商业黑客组织RansomHub在2024.11.24公布了美国德克萨斯州科佩尔市政府被勒索的信息。美国德克萨斯州科佩尔市政府并未按照RansomHub的要求支付赎金,随后RansomHub发布了他们获取到的所有美国德克萨斯州科佩尔市政府数据。
2)孟加拉国政府
商业黑客组织killsec在2024.11.25公布了孟加拉国政府被勒索的信息。截止本篇报告发出之时,killsec并未释放更多孟加拉国政府的数据。
3)美国戒毒中心
商业黑客组织rhysida在2024.11.20公布了.美国戒毒中心被勒索的信息。美国戒毒中心并未按照rhysida的要求支付赎金,随后rhysida发布了他们获取到的所有美国戒毒中心数据。
4、本月涉及中国企业的勒索事件说明
在当今数字化时代,网络安全问题日益突出,勒索软件袭击已成为全球范围内的一大威胁,中国也不例外。近年来,我国频繁发生的勒索软件事件已经引起了广泛关注,但我们仍需进一步重视起来,以防范这一威胁。勒索组织的攻击手段日益多样化,其针对性强、隐蔽性高,一旦遭受攻击,可能会导致巨大的经济损失和社会影响。尤其是对于我国重要基础设施、金融系统、企业以及个人用户,都存在着潜在的安全隐患。以下为本月涉及中国企业的勒索事件说明:
1.坚决支持对勒索软件和黑客组织说“NO!”
2.企业CISO仍应加强自身安全建设,防止该类事件带来的损失;
3.访问https://0.zone/DwmTab获得全部勒索事件监控
5、典型黑客组织简介(Fog)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec如需了解请翻阅往期报告。
本期介绍的是Fog黑客组织。Fog勒索软件最初于2024年5月发现,一直以索要高额赎金的组织为目标。Fog加密的文件的扩展名通常会更改为.fog 或 .flocked。Fog最初重点攻击美国的高等教育机构,同时在攻击期间会利用第三方工具和云服务进行泄露,以向受害者施加更大的压力,迫使其支付赎金。Fog 赎金要求从50,000美元到数百万美元不等,赎金通常以比特币支付。下图为Fog的官网:
Fog的勒索通知一般为以下样式:
如果您正在阅读本文,则您已成为网络攻击的受害者。我们称自己为Fog,我们对此事件负责。您可以查看我们发布公司数据的博客:xbkv2qey6u3gd3qxcojynrt4h5sgrhkar6whuo74wo63hijnn6*****d.onion 如果您选择退出我们的通信,您可能会出现在那里。
我们加密了您的数据,并将其中一部分复制到我们的内部资源中。您越早联系我们,我们就能越早解决此事件并让您恢复工作。
要联系我们,您需要安装 Tor 浏览器:
1. 点击此链接:************************************************************.onion
2. 输入代码:************************
3. 现在我们可以安全地交流了。
如果您是决策者,联系我们,您将获得所有详细信息。我们等着您。
Fog会发送给受害者他们的另一个网站登录id以供联系:
如受害者拒绝支付赎金,Fog会把受害者数据上传到其官网上供他人下载:
11月份监控到匿名社交社群情报总数量11,128,674条,提供的有效数据泄露样例下载5,382份。涉及到我国数据泄露的内容包括:机票信息、投资信息、保险信息、贷款信息、房主信息、车主信息、购物信息等众多类型。以下随机选取展示部分样本:
以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。
此外,检索到11月份使用匿名社交软件的活跃用户中,以“86(我国区号)”开头的手机号共发信息17,709条。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下为11月份使用“86”开头的手机号的TOP
10信息:
* 如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 [email protected] 与我们联系。
《数据泄露态势月度报告(2024.11)》获取方式如下:
1、关注“数世咨询”公众号
2、后台回复“数据泄露态势”获取下载链接或点击阅读全文下载
本文为原创内容,版权归#数世咨询#所有。欢迎文末分享、点赞、在看三连!转载请联系后台。
— 【 THE END 】—
🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!
🎁 多种报告,产业趋势、技术趋势
这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!
👉 扫码立即加入,精彩不容错过!
😄嘻嘻,我们群里见!
更多推荐
如有侵权请联系:admin#unsafe.sh