零零信安：数据泄露态势（2023年12月）

发布者：北京零零信安

发布于：2024-01-17 18:12

监控说明：以下数据由零零信安0.zone安全开源情报系统提供，该系统监控范围包括约10万个明网、深网、暗网、匿名社交社群威胁源。在进行抽样事件分析时，涉及到我国的数据不会选取任何政府、安全与公共事务的事件进行分析。如遇到影响较大的伪造事件，会进行分析和辟谣。

1.数据泄露市场

2023年12月共监控到全球DWM（Dark Web Market）情报：

Ø 深网和暗网有效情报307,478份；

Ø 泄露数据的买卖情报份8,145份。

1.1.国家分类

其中美国是数据泄露第一大国，共泄露数据1,081份，其他数据泄露较多的国家还包括：中国、俄罗斯、英国、法国、印度、加拿大等。详情如下图所示：

在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号:密码/邮箱:密码）、LOG记录等。

1.2.行业分类

12月份行业属性数据占泄露数据总量约16%左右，泄露的行业数据主要包括金融行业、信息和互联网行业、党政军与社会、制造业、批发零售业等。84%左右的泄露数据无明显行业属性，包括邮箱密码二要素数据、无明显泄露源的公民个人信息数据、批量的企业工商数据等。详情如下图所示：

1.3.泄露数量

12月份泄露的数据中包含数份超十亿的二要素个人数据泄露，因此除上述数据外，全球整体数据泄露量达到数十亿行以上。排除该类数据泄露，具有明确泄露源的非二要素新数据泄露量约在十亿行以上。

2.事件抽样分析

2.1.以色列国防军情报部门数据泄露

发布时间：2023.12.22

泄露数量：

售卖/发布人：blackfield

事件描述：2023.12.22某暗网数据交易平台有人宣称正在售卖一份以色列国防军情报部门数据。该黑客出售的数据中包含了以色列军事情报局8200部队以及以色列J6和网络防御局军队成员信息数据，数据包含了：电话、电子邮件、姓名、个人照片、家庭成员信息、他们目前在其中工作的新工作（公司）等个人数据，同时该黑客还上传了一些个人照片作为样例。该数据售卖的价格为50000美元。

2.2.81出口管制和受限技术美国军用飞机手册数据泄露

发布时间：2023.12.12

泄露数量：

售卖/发布人：spectre123

事件描述：2023.12.12某暗网数据交易平台有人宣称正在售卖一份出口管制和受限技术美国军用飞机手册数据。据卖家称该数据总大小为5GB，价格为20000美元并且可议价。该作者并未上传样例，但留下了自己的telegram联系方式并留言道“样例只会发给真正的卖家”。

值得注意的是，该作者攻击发布的12篇帖子中，除一篇求购贴和两篇企业数据外，剩余的帖子内容全部为出售各国军事数据，包括但不限于：印度国防文件、北约、美国中情局、美国国防部、美国军队、韩国军事信息、菲律宾海军和陆军信息等。

2.3.法国司法部数据泄露

发布时间：2023.12.19

泄露数量：17,789

售卖/发布人：WAIL_CRINAL

事件描述：2023.12.19某暗网数据交易平台有人宣称正在售卖一份法国司法部数据，总条数为17,789条，给出的样例中有姓名、电话、邮箱、地址等个人信息数据。

2.4.美国国家信用社管理局（NCUA）数据泄露

发布时间：2023.12.29

泄露数量：1,524

售卖/发布人：InterSystems

事件描述：2023.12.29某暗网数据交易平台有人宣称正在售卖一份美国国家信用社管理局（NCUA）数据，给出的样例中可以看到的数据字段有：记录案卷号、年份、名字、姓氏、机构、关系等。该数据总条数为1,524条，价格暂时未知。

2.5.印度尼西亚民事登记局SIAK数据泄露

发布时间：2023.12.28

泄露数量：217,750,843

售卖/发布人：Bjorka

事件描述：2023.12.28某暗网数据交易平台有人宣称正在售卖一份印度尼西亚民事登记局SIAK数据。该数据总计217,750,843条，总大小为131GB，价格为5000美元。给出的样例中数据字段有：姓名、身份证号、出生日期、父/母亲姓名、父/母亲身份证号、地址等。

2.6.台湾政府数据泄露

发布时间：2023.12.17

泄露数量：

售卖/发布人：carstongrice

事件描述：2023.12.17某暗网数据交易平台有人宣称正在售卖一份台湾政府数据。据卖家称该数据总大小为20GB的图片和文档表格，并附上了一些看起来像聊天记录、工作任务安排、合同等文件，该数据的价格以及真假性暂且未知。

2.7.中国海关总署数据出口进口数据泄露

发布时间：2023.12.26

泄露数量：810,000

售卖/发布人：JustAnon69

事件描述：2023.12.26某暗网数据交易平台有人宣称正在售卖一份中国海关总署数据出口进口数据。据卖家称该数据共计810,000条，总大小为332MB。根据卖家提供的样例数据判断，该数据大概率为拼凑来的假数据。

2.8.新家养老服务(北京)有限公司数据泄露**

发布时间：2023.12.8

泄露数量：

售卖/发布人：boxfan

事件描述：2023.12.8某暗网数据交易平台有人宣称正在售卖一份新**家养老服务(北京)有限公司数据。据卖家称该数据包括超过1万个与其数据库相关的文件以及电子表格和大量其他信息，泄露的数据内容主要包括保险和护理服务。该份数据被标价为5000美元。

2.9.纳源数据泄露**

发布时间：2023.12.29

泄露数量：100,000

售卖/发布人：TheRenewablePower

事件描述：2023.12.8某暗网数据交易平台有人宣称正在售卖一份一家可再生能源电池存储和逆变器供应商纳**源的客户数据。据卖家称该数据共计100,000条，给出的样例中的数据字段有：姓名、邮箱、密码等。

3.勒索软件和黑客组织

3.1.活跃商业黑客组织综述

2023年12月全球活跃的商业黑客组织（有勒索发布行为）共33个，公开的勒索事件共401件，TOP 10的黑客组织如下所示：

排序	组织标识	组织名	发布数量
1		lockbit3	79
2		cactus	36
3		alphv	29
4		play	28
5		8base	27
6		Hunters international	22
7		dragonforce	21
8		siegedsec	19
9		akira	17
10		werewolves	15

TOP 10的商业黑客组织公开发布的勒索事件占全部事件的51%，如下所示：

3.2.黑客组织活度趋势

下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强（本月与上月相比有所下降），但整体活跃度趋势正在逐步增加，统计末端（2023年12月）已达到一年前统计前端（2023年1月）的224%：

随着TI+AI（开源情报+人工智能自动化）的攻击方式逐步成熟，尤其是2023年以来，WormGPT和FraudGPT的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，本月活跃黑客组织数量达到历史新高。如下图所示：

3.3.本月典型事件说明

由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取展示10个典型样例事件，并对其中部分代表性事件进行细节说明：

事件	国家/组织	时间	黑客组织
Austal USA	美国奥斯塔	2023/12/5	HUNTERS INTERNATIONAL
HTC Global Services	美国HTC 全球服务	2023/12/1	Alphv
Tipalti	蒂帕尔蒂	2023/12/3	Alphv
Prefeitura Municipal de Itabira	巴西伊塔比拉市政府	2023/12/24	Alphv
Abdali Hospital	阿卜杜勒医院	2023/12/26	Rhysida
Insomniac Games	美国失眠游戏	2023/12/12	Rhysida
Hacked IDF SMS system	以色列国防军短信系统	2023/12/24	Malek team
kitahirosima.jp	日本北广岛町社会福利协议会	2023/12/12	Lockbit3
goldwind.com	金**科技	2023/12/14	Lockbit3
dena.de	德国能源署	2023/12/12	Lockbit3

1. 美国海军承包商奥斯塔

商业黑客组织HUNTERS INTERNATIONAL在2023.12.5公布了美国海军承包商奥斯塔被勒索的信息，该部门未按照勒索组织的要求在规定期限内支付赎金。HUNTERS INTERNATIONAL共窃取了奥斯塔多达13.2GB的数据，超5600分文件，并公布在互联网上提供下载。如下图所示：

2. 德国能源署

商业黑客组织Lockbit在2023.12.12公布了德国能源署被勒索的信息，该部门未按照勒索组织的要求在规定期限内支付赎金。Lockbit共窃取了德国能源署多达265.5GB的数据，并公布在互联网上提供下载。如下图所示：

3. 金**科技

商业黑客组织Lockbit在2023.12.14公布了金**科技被勒索的信息，该部门未按照勒索组织的要求在规定期限内支付赎金，但Lockbit并未上传金**科技的数据到官网上，同时再其官网上晒出了其与金**科技人员聊天记录。聊天记录显示：从2023年12月2日起，金**科技一直试图和lockbit进行谈判来压低价格，但截止到2024年1月3日，lockbit始终未接受减少赎金。如下图所示：

n 对该类事件，本文分析员的观点和立场如下：

1. 坚决支持对勒索软件和黑客组织说“NO！”

2. 企业CISO仍应加强自身安全建设，防止该类事件带来的损失；

3. 访问https://0.zone/DwmTab获得全部勒索事件监控

3.4.典型黑客组织简介（Alphv）

由于国内安全行业尚处于从以合规为目标向实战化攻防的转型初期，我们计划在每期报告中对一个典型的商业黑客组织进行科普性介绍，以普遍增加从业人员对勒索软件和黑客组织的认知度。

已经介绍过的黑客组织有：Lockbit3，Royal，Play，Rhysida如需了解请翻阅往期报告。

本期介绍Alphv勒索组织。Alphv（黑猫）黑客组织最早于2021年11月开始活跃，是一个存活时间很久的勒索组织。Alphv黑客组织（也称为黑猫）被确认其前身是臭名昭著的BlackMatter/DarkSide黑客组织：DarkSide于2020年8月开始活跃，由于攻击了美国最大的燃料运输管道遭执法部门关注，在2021年5月被关闭；随后于2021年7月以BlackMatter的身份回归，4个月后由于被利用服务器漏洞导致服务器被查封；最后该组织更名为Alphv。

Alphv勒索组织效率极高，可以算得上是一个顶尖勒索组织。截止2023年底共发布了712起勒索公告，平均每月就有20多个受害者遭受Alphv勒索组织攻击勒索。Alphv的勒索金额大约从250万美元至1000万美元不等，并且他们并不在勒索留言中注明金额，而是要求受害者与他们进行联系和互动，以获取勒索金额。

12月7日，Alphv官网突然无法打开，同时其谈判链接也无法打开，表明了该组织的公共基础设施出现故障，正在进行的谈判也已停止。12月12日在其基础设施瘫痪的第五天后似乎又重新开始营业。但它只显示了一名受害者，而没有看到它通常列出的数百名其他受害者中的任何一个。该网站上唯一的列表日期为 12月13日，即网站恢复后。ALPHV管理员将问题归咎于托管问题，与此同时有消息称“本次基础设施瘫痪是被执法部门行动导致”。

12月19日，AlphV/Blackcat 勒索软件团伙的暗网网站被一个醒目的页面取代，宣布该网站已被FBI查获。FBI称在获得该组织服务器的访问权限后，进行了长达数月的监视，同时没收了解密密钥，从而恢复了约500名勒索软件受害者的数据，避免了总计约6800万美元的赎金支付。但几小时后，该团伙声称已“夺回该站点”，同时还取消了攻击此前他们禁止攻击关键基础设施的目标规则。

ALPHV的服务器中断后，该组织中合作伙伴的信任度下降，其中一些人开始绕过该组织在Tor网络上的平台，通过电子邮件直接联系受害者。这是由于担心 ALPHV的基础设施可能已受到损害。值得注意的是，LockBit勒索组织将这种情况视为扩大其活动的机会，并邀请ALPHV附属机构加入，并视此次事件为“圣诞礼物”。虽然尚不清楚ALPHV附属机构是否已转移到LockBit，但已在LockBit的数据泄露网站上发现了一名ALPHV的受害者（德国能源署http://dena.de）。

与此同时，Lockbit和ALPHV在暗网上还谈及到要成立一个“黑客组织联盟”。ALPHV在暗网上通过一条神秘的消息发起了对话，强调黑客在逆境面前需要团结一致。该消息包含对最近发生的事件的隐晦提及，以及感激LockBitSupp的支持。LockBit则对此表示感谢，并表示愿意支持志同道合的伙伴。并提到“我们应该成立一个联盟”。令人惊讶的是，ALPHV对此回应到“LockBit 是对的，我们都应该加入联盟，否则他们会一一追捕我们。”