数据泄露态势（2024年6月）

监控说明：以下数据由零零信安0.zone安全开源情报系统提供，该系统监控范围包括约10万个明网、深网、暗网、匿名社交社群威胁源。在进行抽样事件分析时，涉及到我国的数据不会选取任何政府、安全与公共事务的事件进行分析。如遇到影响较大的伪造事件，会进行分析和辟谣。

1.数据泄露市场

2024年6月共监控到全球DWM（Dark Web Market）情报：

深网和暗网有效情报189,525 份；
泄露数据的高价值买卖情报3,069份。

1.1.国家分类

其中美国是数据泄露第一大国，共泄露数据723份，其他数据泄露较多的国家还包括：印度、中国、俄罗斯、巴西、英国、加拿大、德国等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

1.2.行业分类

6月份行业属性数据占泄露数据总量约72%左右，泄露的行业数据主要包括信息和互联网行业、金融行业、党政军与社会、文体娱乐业、批发零售业等。28%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源 公民个人信息数据、批量的企业工商数据等。详情如下图所示：

1.3.泄露数量

6月份泄露的数据中包含数份数百万近千万的购物信息数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在数亿行以上。

2.事件抽样分析

2.1.北约数据泄露

发布时间：2024.6.14

泄露数量：

售卖/发布人：natohub

事件描述：2024.6.14某暗网数据交易平台有人宣称正在售卖一份北约数据库和北约机密文件数据。卖家称此份数据包括来自北约的49k成员/合作伙伴，机密文件和技术报告。文件的一些安全分类级别：NR(受北约限制)、NC(北约机密文件)、NS(北约秘书处)等。此份数据的价格卖家并未提及，卖家留下了自己的telegram联系方式以供买家联系。

2.2.泰国情报局数据泄露

发布时间：2024.6.29

泄露数量：

售卖/发布人：Leukemia

事件描述：2024.6.29某暗网数据交易平台有人宣称正在售卖一份泰国情报局数据。卖家称此份数据是攻击泰国皇家陆军情报局的信息监控系统得来的，泰国皇家陆军情报局利用这个系统来监视和监控政党、政治运动、非政府组织和大学生。 卖家称该数据包含2019 年至 2024 年 5 月的 2,939 份机密文件和 PDF 文件。

2.3.泰国内部安全行动指挥部数据泄露

发布时间：2024.6.29

泄露数量：

售卖/发布人：Leukemia

事件描述：2024.6.29某暗网数据交易平台有人宣称正在售卖一份泰国内部安全行动指挥部数据。该黑客称此份数据是攻击泰国皇家武装部队的政治部门国内安全行动指挥部(ISOC)得来的，此份数据总大小为178 GB，其中包含许多机密文件、项目文件和各种格式的视频文件。

2.4.印度尼西亚通信和信息技术部数据泄露2亿条

发布时间：2024.6.30

泄露数量：200,000,000

售卖/发布人：Guzmanloeraxxx

事件描述：2024.6.30某暗网数据交易平台有人宣称正在售卖一份印度尼西亚通信和信息技术部数据。卖家称此份数据来自PUSAT DATA NASIONAL (PDN)印尼国家数据中心，此份数据共计200,000,000条，泄露的字段有：国民身份证号码(NIK)、家庭卡号码(NOKaruKeluarga)、全名(NamaLengkap)和完整地址(AlamatLengkap)。此份数据的价格卖家并未提及，更多样例与价格需要与卖家进行联系获取。

2.5.印度外交护照持有者数据泄露

发布时间：2024.6.23

泄露数量：

售卖/发布人：xenZen

事件描述：2024.6.23某暗网数据交易平台有人宣称正在售卖一份印度外交护照持有者数据。卖家称此份数据获取时间为2024年4月，文件总大小为25GB，解压后为45GB。此份数据包含的字段有：全名母亲、父亲姓名、居住地址历史、当前地址、联系电话、电子邮件、现任政府职位、护照号码。此份数据被卖家标价为20,000美元，一天后2024年6月24日，卖家称此份数据成功被售出。

3.勒索软件和黑客组织

3.1.活跃商业黑客组织综述

2024年6月全球活跃的商业黑客组织（有勒索发布行为）共34个，公开的勒索事件共435件，TOP 10的黑客组织如下所示：

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的73%，如下所示：

3.2.黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所减少），整体活跃度趋势正在逐步趋于稳定，统计末端（2024年6月）达到一年前统计前端（2023年7月）的129.1%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃的黑客组织的数量如下图所示：

3.3.本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

1.普亚勒普部落

商业黑客组织Inc Ransom在2024.6.29公布了美国普亚勒普部落被勒索的信息。黑客组织Inc Ransom正在与该部门进行谈判，截止本篇报告发出之时，Inc Ransom还并未释放该部门数据。

2.美国商业改进局

商业黑客组织Bianlian在2024.6.27公布了美国商业改进局被勒索的信息。黑客组织Bianlian正在与该部门进行谈判，截止本篇报告发出之时，Bianlian还并未释放该部门数据。

3.迪拜市政府

商业黑客组织Daixin在2024.6.5公布了迪拜市政府被勒索的信息。该组织并未按照黑客组织的要求交付赎金，随后Daixin公布了他们获取到的所有数据。

3.4.典型黑客组织简介（Abyss-Data）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida，Alphv，8base，Hunters International、Play、Akira、Cactus如需了解请翻阅往期报告。

Abyss-Data于2023年3月开始首次行动，截止2024年6月底共发动了51次勒索行动。Abyss-Data主要针对VMware ESXi 环境，Abyss-Data是一个采用双重勒索的组织，托管一个基于 TOR 的网站，如果受害者不遵守威胁行为者的要求，就会在该网站上列出受害者及其被窃取的数据。对于 Abyss Locker 感染，初始访问可能有所不同。据观察，相关威胁行为者以弱 SSH 配置（SSH 暴力攻击）为目标，以此作为进入暴露服务器的手段。对于 Linux，Abyss Locker 有效负载源自 Babuk 代码库，功能非常相似。该勒索软件具有标准命令行界面，要求威胁行为者定义加密的目标路径。以下是Cactus的官网界面：

Abyss-Data的官网并未有联系方式以供受害者联系，推测应该是Abyss-Data会与受害者进行联系，在受害者拒绝支付赎金后Abyss-Data会释放他们获取到的所有数据。