В инфополе еженедельно всплывают новости о «свежих» утечках: то база ритейлера, то данные клиентов банка. Мы привыкли думать, что ценность украденной информации эфемерна — как только дамп попал в паблик, он становится бесполезным мусором. Однако реальность теневого рынка 2025–2026 годов говорит об обратном.

Даже «мертвые» базы продолжают циркулировать, перепродаваться и приносить мошенникам сотни тысяч долларов. В этом материале мы разберем, как устроена экономика вторичного рынка данных, как злоумышленники косплеят топ-группировки вроде ShinyHunters и почему «баян» пятилетней давности до сих пор опасен для вашего бизнеса.

Экономика «вторички»: зачем покупать то, что бесплатно?

Казалось бы, если база опубликована, ее коммерческая ценность равна нулю. Но в даркнете работает фактор осведомленности и упаковки. Злоумышленники используют три основные стратегии монетизации старых данных:

  1. Ребрендинг (Утечка 2.0). Старый дамп выдается за результат свежего взлома. Это позволяет «набить цену» новому аккаунту или быстро сорвать куш, пользуясь доверчивостью неопытных покупателей.

  2. Арбитраж трафика. Трафик с жестко модерируемых форумов перегоняется в Telegram-каналы, где уровень контроля ниже, а готовность платить за «эксклюзив» — выше.

  3. Приватные подписки. Вместо продажи одной базы создаются VIP-чаты с доступом к «складу» дампов за $200–1200.

RED EYES и «свежий» взлом в Саудовской Аравии

 В январе 2026 года хакерская группировка RED EYES заявила о взломе саудовского стартапа Yamm. Они предложили купить базу за символические 50$, позиционируя это как свежий инцидент.

Сообщение о продаже базы данных Yamm
Сообщение о продаже базы данных Yamm

Анализ CTI-исследователей (анализ киберугроз) показал: структура полей и набор данных идентичны дампу, который выложил юзер под ником 888 еще в июле 2025 года. Тот же сценарий повторился с компанией Baran: RED EYES просили 600$ за 21 ГБ данных, которые гуляли в паблике с февраля 2025-го.

Зачем это делается?

  • Привлечение аудитории. Громкий заголовок «Hacked» отлично работает как кликбейт.

  • Репутация. В подполье важно казаться активным игроком, даже если ты просто перекладываешь файлы из одной папки в другую.

  • Легкие деньги. Всегда найдется покупатель, который не умеет пользоваться не только форумами, но и другими источниками (тем же Telegram).

Solonik и месячный куш в $130 000

Сообщение о возможной сумме заработка
Сообщение о возможной сумме заработка

Пожалуй, самый показательный пример «успешного» вторичного дилера — персонаж под ником Solonik. С января 2026 года он развил бурную деятельность: более 100 постов на форумах, каждый из которых вел в его Telegram-канал.

Публикация о продаже данных
Публикация о продаже данных

Его схема была откровенно наглой: например, базу ресурса trudvsem.ru он предлагал за $8 000, хотя она активно распространялась бесплатно еще за два месяца до этого. В своих чатах Solonik хвастался, что заработал $130 000 за один месяц на продаже подобных «эксклюзивов».

Уведомление о бане пользователя
Уведомление о бане пользователя

История закончилась закономерно: на крупных форумах его забанили с пометкой «Scammer» за репостинг старых утечек под видом новых. Однако это не помешало ему заявить о создании собственного форума для агрегации данных из BreachForums и LeakBase.

Сообщение о создании собственного форума
Сообщение о создании собственного форума

Карго-культ в даркнете: фейковые ShinyHunters и Babuk

Когда своего имени нет, в ход идет мимикрия под титанов рынка.

ShinyHunters — это бренд среди хакерских группировок с 2020 года, ассоциирующийся со взломами Santander Bank и Tokopedia. В 2026 году Telegram наводнили каналы-клоны, использующие название и стиль раскрученных имён и названий. 

Один из таких фейков выложил «базу DELL», якобы украденную совместно с группировкой Lapsus$. Исследователи быстро выяснили: данные — подделка (extraction из одного эндпоинта домашнего ПК), а сами Lapsus$ официально заявили, что ни с кем не сотрудничают.

Сообщение о публикации базы данных DELL от лица ShinyHunters
Сообщение о публикации базы данных DELL от лица ShinyHunters

Аналогичная ситуация произошла с Babuk Locker 2.0. Оригинальная группа закрылась в 2021 году, За короткий период злоумышленники, выдающие себя за Babuk, опубликовали данные десятков скомпрометированных компаний, однако, по оценкам исследователей, до 90% заявленных жертв были атакованы другими вымогателями, а Babuk 2.0 просто присваивали себе чужие лавры.

Подтверждение факта обмана от одного из участников чата
Подтверждение факта обмана от одного из участников чата

Не только базы: Ransomware как сервис-пустышка

Фейковые ShinyHunters пошли дальше и начали рекламировать шифровальщик реальных «шайни». В рекламном видео они демонстрировали мощный интерфейс билдера. Однако реверс-инжиниринг показал, что это «перекрашенный» инструмент 2018 года выпуска, который давно доступен на каждом втором хакерском ресурсе.

Сообщение о сдаче в аренду шифровальщика
Сообщение о сдаче в аренду шифровальщика

Это классический пример LARPing (Live Action Role Playing) в киберпреступности: создание видимости высокотехнологичной группировки с помощью старых опенсорсных инструментов.

Риски для организаций: почему «старая» утечка — это все еще больно?

Многие ИБ-отделы совершают ошибку, игнорируя базы двух- или трёхлетней давности. Почему это опасно:

  • Наследие учетных данных. Люди годами не меняют пароли или меняют их предсказуемо (например, добавляют «1» в конце). Старые логины/пароли остаются ключом к корпоративным системам.

  • Разведка инфраструктуры. Утечки часто содержат внутренние домены, IP-адреса, названия сервисов и почтовые шлюзы. Даже если часть данных устарела, они дают злоумышленнику карту сети потенциальной компании-жертвы для первичной разведки.

  • Убедительный фишинг. Имея на руках историю заказов или реальные имена сотрудников из базы 2024 года, атакующий может составить фишинговое письмо, в которое поверит даже опытный коллега.

  • Атаки на цепочку поставок. Данные о подрядчиках и деталях договоров из старых дампов позволяют атаковать компанию через ее партнеров.

Статистика и тренды

  • Масштаб: Ежегодно фиксируются сотни публикаций баз, но реальных новых инцидентов среди них значительно меньше.

  • География: В 2025 году наметился тренд на массовый слив ранее «приватных» баз компаний из РФ и СНГ.

  • Цена обмана: Доход успешного перекупщика может достигать $130 000 в месяц.

  • Верификация: На жестко модерируемых форумах до 100% фейковых аккаунтов топ-группировок рано или поздно улетают в бан, но в Telegram их количество только растет.

Прогнозы и выводы

Рынок вторичных данных продолжит сегментироваться. Мы увидим:

  1. Усложнение атрибуции. Из-за того, что одну и ту же базу публикуют пять разных групп, понять, кто реально пробил периметр, станет почти невозможно без детального расследования.

  2. Рост популярности «агрегаторов». Злоумышленники будут все чаще создавать платные поисковики по старым утечкам, делая их доступными для массового низкоквалифицированного мошенника.

  3. Автоматизация фейков. Использование ИИ для генерации правдоподобных семплов баз на основе старых данных.

Что делать ИБ-специалисту?

Не игнорировать старые утечки! Мониторинг дарквеба должен включать не только поиск упоминаний бренда в контексте «свежего взлома», но и отслеживание циркуляции ваших данных на вторичном рынке. Если ваши данные снова всплыли в продаже — это повод как минимум принудительно сбросить пароли и провести аудит прав доступа для аккаунтов, фигурирующих в дампе.

Важно помнить, что дарквеб — это не всегда про хакеров-гениев. Это еще и огромный рынок перекупщиков, мошенников и «ролевиков». Понимание их внутренней кухни помогает не только экономить нервы при чтении газетных заголовков, но и реально оценивать риски для бизнеса.

С полной версией исследования теневого рынка преступных киберуслуг можно ознакомиться на нашем сайте.

Дмитрий Стрельцов

Аналитик группы международной аналитики PT Cyber Analytics