本报告由数世咨询 & 零零信安 共同发布
在万物互联的数字化时代,数据做为第五大生产要素,要实现充分的流动才能创造出无限的价值。同时,数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战,数据泄露事件成为常态。
为了掌握数据泄露态势,应对日益复杂的安全风险,数世咨询联合零零信安,基于0.zone安全开源情报系统,共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约10万个威胁源。除了月度的数据泄露概况以外,报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件,还会对其进行分析和辟谣。
本期报告的统计区间2024年12月。
2024年12月共监控到全球DWM(Dark Web Market)情报:
Ø 深网和暗网有效情报346,929份;
Ø 泄露数据的高价值买卖情报5,491份。
1、国家分类
其中美国是数据泄露第一大国,共泄露数据846份,其他数据泄露较多的国家还包括:印度、中国、英国、法国、英国、泰国、马来西亚、俄罗斯等。详情如下图所示:
2、行业分类
12月份行业属性数据占泄露数据总量约59%左右,泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、批发零售业、教育行业等。41%左右的泄露数据无明显行业属性,包括邮箱密码二要素数据、无明显泄露源公民个人信息数据、批量的企业工商数据等。详情如下图所示:
3、泄露数量
12月份泄露的数据中包数份数十亿三要素数据以及数份数亿二要素数据泄露,因此除上述数据外,全球整体数据泄露量达到数十亿行以上。排除该类数据泄露,具有明确泄露源的非二要素新数据泄露量约在数十亿行以上。
1、美国海军陆战队数据泄露
发布时间:2024.12.1
泄露数量:13,313
事件描述:2024.12.1某暗网数据交易平台有人宣称正在售卖一份美国海军陆战队数据。作者称此份数据共包含两个文件,共计13313条用户数据。数据字段:用户名、姓名、邮箱、职位级别、部队或组织代码、出生日期、隶属的部门或军种等。此名黑客此前发布过价格为3000美元的38万条美国军人信息,此次发布的海军陆战队不能判断是否属于同一批数据。
2、俄罗斯联合后勤支援部队数据泄露
发布时间:2024.12.2
事件描述:2024.12.2某暗网数据交易平台有人宣称正在售卖一份俄罗斯联合后勤支援部队数据。卖家称此份数据由入侵eng.mi.ru(俄罗斯国防部)和gosuslugi.ru/crt(俄罗斯政府服务门户网站)得到的,卖家称此份数据包含:俄罗斯战略导弹部队 (SFT) 的实践、方法、信息和**其导弹的地理位置**、私人笔记、语音拦截和通过他们的秘密信箱发送的文件、有关其空隙开发人员的信息。此份数据的价格为4000美元,样例需要与作者私下验资联系。
3、马来西亚核能机构数据泄露
事件描述:2024.12.3某暗网数据交易平台有人宣称正在售卖一份马来西亚核能机构数据。卖家称此份数据来源于马来西亚核能机构,目前正在与该机构进行协商出售数据,暂不出售给他人。此份数据的数据字段包含:登录ID、姓名、身份证号、邮箱、地区、性别、传真号等。随后该卖家更新了贴子,更新该份数据的价格为5000美元(仅出售给两人)或10000美元(买断)并仅支持门罗币进行交易。
4、亨特拜登笔记本副本数据泄露
事件描述:2024.12.18某暗网数据交易平台有人宣称正在售卖一份亨特拜登笔记本副本数据。2020年10月,特拉华州一家电脑店的老板约翰·保罗·麦克·艾萨克 (John Paul Mac Isaac) 表示,这台笔记本电脑是一名自称亨特·拜登的男子留下的。麦克·艾萨克还表示,他是法定盲人,不能确定这名男子是否真的是亨特·拜登。在2020 年美国总统大选前三周,《纽约邮报》在头版刊登了一篇报道,展示了笔记本电脑中的电子邮件,称它们显示了民主党总统候选人、亨特·拜登的父亲乔·拜登的腐败行为(拜登担任副总统期间,曾推动乌克兰最高检察官被免职,原因是他正在调查与拜登儿子亨特有关联的乌克兰天然气公司 Burisma。《纽约时报》在 2020年1月报道称,俄罗斯军事情报部门从 2019年11月开始攻击Burisma)。因此此前有传闻为俄罗斯黑客获取到了此份数据,但此事件一直以新闻被报道,并未有任何实际性数据被放出。此次作者发布了名为亨特拜登笔记本副本的数据,总大小为372GB。
5、卡塔尔天然气公司、阿布扎比国家石油公司和贝尔能源公司机密数据泄露
事件描述:2024.12.18某暗网数据交易平台有人宣称正在售卖一份卡塔尔天然气公司、阿布扎比国家石油公司和贝尔能源公司的机密数据,卖家称此份数据包含:敏感内部文件、石油和天然气厂设计和蓝图、详细位置信息、机密报告和受限数据、项目详细信息、基础设施计划、机密商业通信、内部审计和战略文件等,此份数据总大小共计30GB,价格为10万美元。
6、*国医****局医保缴费数据泄露
事件描述:2024.12.19某暗网数据交易平台有人宣称正在售卖一份*国医****局医保缴费数据。卖家称此份数据为2024年医***缴费信息,条数总计800万条,价格为199美元,数据字段:姓名、手机号、地址、身份证号、费款所属期、应缴纳金额、实际缴纳金额。
7、*国***银行信用卡数据泄露
事件描述:2024.12.17某暗网数据交易平台有人宣称正在售卖一份*国***银行信用卡数据。卖家称此份数据共8万条,价格为350美元,数据字段:姓名、身份证号、信用卡号、手机号、出生日期、所在地区、邮编等。
8、中****航空数据泄露
事件描述:2024.12.7某暗网数据交易平台有人宣称正在售卖一份中****航空数据。卖家称此份数据的泄露日期为2024年10月31日,包含共1800万条的姓名、身份证、地址、信用卡信息、出发地、降落地、购票金额、手机号码等个人信息数据,售价为2800美元。
9、弘****科技股份有限公司数据泄露
事件描述:2024.12.11某暗网数据交易平台有人宣称正在售卖一份弘****科技股份有限公司数据。作者称此份数据包含企业技术核心数据、人力资源、财务数据、会计、工资、税务数据、员工个人文件夹及文档以及客户数据在内的共400GB的公司机密数据。
10、珍****网用户数据泄露
事件描述:2024.12.8某暗网数据交易平台有人宣称正在售卖一份珍****网用户数据。此份数据售卖价格为290美元,数据总量为5万条,数据字段包括:姓名、手机号、运营商、出生日期、性别、身份证号、户籍地、职业、地址等。
1、活跃商业黑客组织综述
2024年12月全球活跃的商业黑客组织(有勒索发布行为)共51个,公开的勒索事件共684件,TOP
10的黑客组织如下所示:
TOP
10的商业黑客组织公开发布的勒索事件占全部事件的64%,如下所示:
2、黑客组织活度趋势
下图为近一年来黑客组织活跃度趋势图,从下图可看出,虽然每个月全球商业黑客组织的活动波动性较强(本月与上月相比有所减少),整体活跃度趋势正在逐步趋于稳定,统计末端(2024年12月)达到一年前统计前端(2024年1月)的236.68%:
随着TI+AI(开源情报+人工智能自动化)的攻击方式逐步成熟,尤其是2023年以来,WormGPT和FraudGPT的发布和发展,黑客组织正在向精英化、小型化、自动化演进,这也促使更多的黑客组织逐渐分裂、诞生和成长,本月活跃的黑客组织的数量如下图所示:
3、本月典型事件说明
由于每月黑客组织行动数量庞大,无法在报告中枚举全部事件,分析员随机抽取展示10个典型样例事件,并对其中部分代表性事件进行细节说明:
事件 | 国家/组织 | 时间 | 黑客组织 |
moh.gov.vn | 越南卫生部 | 2024/12/31 | funksec |
Ikav Global Energy | IKAV | 2024/12/29 | funksec |
www.ibram.org.br | 巴西博物馆协会 | 2024/12/17 | funksec |
SeaLandAire Technologies | 海陆航空技术公司 | 2024/12/17 | hunters |
whitestown.net/ | 美国怀特斯敦县 | 2024/12/8 | Qilin |
www.siapenet.gov.br | 巴西政府综合人事管理系统 | 2024/12/3 | APT73 |
www.metlife.com | 美国大都会人寿保险 | 2024/12/31 | ransomhub |
dcd.gov.ae | 迪拜民防局 | 2024/12/30 | funksec |
Jamaica Bearings Group | 牙买加轴承集团 | 2024/12/6 | akira |
www.welkerproducts.com | 威尔克工程产品 | 2024/12/16 | Play |
1)巴西政府综合人事管理系统
商业黑客组织APT73在2024.12.3公布了巴西政府综合人事管理系统被勒索的信息。巴西政府综合人事管理系统并未按照APT73的要求支付赎金,随后APT73发布了他们获取到的所有巴西政府综合人事管理系统数据。
2)美国大都会人寿保险
商业黑客组织ransomhub在2024.12.31公布了美国大都会人寿保险被勒索的信息。美国大都会人寿保险并未按照ransomhub的要求支付赎金,随后ransomhub发布了他们获取到的所有美国大都会人寿保险数据。
3)美国海陆航空技术公司
商业黑客组织hunters在2024.12.27公布了美国海陆航空技术公司被勒索的信息。美国海陆航空技术公司并未按照hunters的要求支付赎金,随后hunters发布了他们获取到的所有美国海陆航空技术公司数据。
4、典型黑客组织简介(Funksec)
由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期,我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍,以普遍增加从业人员对勒索软件和黑客组织的认知度。
已经介绍过的黑客组织有:Lockbit3,Royal,Play,Rhysida,Alphv,8base,Hunters
International、BianLian、Akira、Cactus、Abyss-Data、Black Suit、Arcus Media、space bear、killsec、fog如需了解请翻阅往期报告。
本期为您介绍的是 FunkSec 黑客组织。FunkSec 是一个具有强烈黑客主义倾向的勒索软件组织,首次于2024年12月被发现。自成立以来,该组织在短短一个月内公开了超过 80 名受害者的相关信息,成为当月最为活跃的黑客组织。尤其值得关注的是,这些受害者中约有五分之一为政府机构,进一步突显了其攻击目标的敏感性。
FunkSec 自称为一家全新的“勒索软件即服务”(Ransomware-as-a-Service,简称RaaS)组织,与传统勒索软件集团相比,其赎金要求显得异常低廉,通常仅在1万美元左右。在无法成功勒索的情况下,该组织甚至会以几百美元的价格出售受害者数据。根据分析,FunkSec的主要目的是在获取经济利益的同时,也想通过频繁曝光和高调行动来追求更大的知名度和社会认可。然而,由于FunkSec的行为具有极强的“宣传”色彩,其发布信息的真实性往往难以核实。这也使得外界对其攻击能力及其背后的动机存有较多争议。
Funksec在其官网上公布了受害者的信息,同时在其官网还提供有其他服务,以下为Funksec的官网界面:
在Funksec的官网中有对他们的一段采访称“Funksec声称完全是自学成才,没有与其他团伙合作,由四名成员组成,主要受到经济动机的驱动。”以及该组织的成员称20%的勒索软件源代码由AI完成。
如受害者拒绝支付赎金,Funksec会把受害者数据放到其官网上供他人下载:
在此之前,Funksec还会尝试出售受害数据,价格在几百至几千美元不等:
Funkse声称“我们的勒索软件攻击和运营将针对美国。作为一个其统治依赖于对以色列的一流支持的国家,美国因其能源资源(包括石油)而削弱了中东。我们所有使用新勒索软件程序的打击都将针对美国,目标是政府、经济以及为国家出口和生产的各个公司。”此外,印度因不知名原因也在其主要攻击名单里。
Funksec还运营者一个暗网论坛供黑客交流:
Funksec在官网上提供了黑客工具以及数据清洗服务:
FDDOS 是一种专门设计用于发起分布式拒绝服务(DDoS)攻击的工具,主要通过 HTTP 或 UDP 泛洪方式对目标系统施加高强度负载,造成其无法正常服务。
JQRAXY HVNC 是一款以远程桌面管理为核心功能的工具,同时支持任务自动化和数据交互,能够实现对目标设备的隐蔽控制与高效操作。
funkgenerate 是一款智能密码处理工具,具备从指定URL 中提取电子邮件和潜在密码的能力,并利用抓取的信息生成针对性的新密码建议,为密码分析与管理提供支持。
12月份监控到匿名社交社群情报总数量23,990,408 条,提供的有效数据泄露样例下载11,837份。涉及到我国数据泄露的内容包括:相亲信息、购物信息、机票信息、投资信息、保险信息、贷款信息、车主信息等众多类型。以下随机选取展示部分样本:
以上数据仅为在匿名社交社群中,攻击者展示的样例数据,每份样例会提供数十至数百条不等。即:匿名社交社群中仅每个月发布的我国数据泄露的样例数据就有10万条左右,全数据量估算在1000万条以上。
此外,检索到12月份使用匿名社交软件的活跃用户中,以“86(我国区号)”开头的手机号共发信息54,017条。使用匿名社交软件的用户,不会受到实名监管,其目的性值得考虑。以下为11月份使用“86”开头的手机号的TOP 10信息:
* 如果您对《数据泄露态势月度报告》有任何问题或意见,包括引用、指正或合作,请通过电子邮件 [email protected] 与我们联系。
《全球数据泄露态势月度报告(2024.12)》获取方式如下:
1、关注“数世咨询”公众号
2、后台回复“数据泄露态势”获取下载链接或点击阅读全文下载
本文为原创内容,版权归#数世咨询#所有。欢迎文末分享、点赞、在看三连!转载请联系后台。
🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!
🎁 多种报告,产业趋势、技术趋势
这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!
👉 扫码立即加入,精彩不容错过!
😄嘻嘻,我们群里见!
更多推荐
如有侵权请联系:admin#unsafe.sh