Vào ngày 25 tháng 3 năm 2026, một tác nhân đe dọa với biệt danh “Snow” từ nhóm SnowTeam đã đăng một quảng cáo trên diễn đàn tội phạm mạng TierOne (T1) nói tiếng Nga, giới thiệu một dịch vụ tội phạm mới có tên Leak Bazaar. Nền tảng này không phải là một trang web rò rỉ dữ liệu truyền thống.
Thay vào đó, Leak Bazaar tự giới thiệu là một dịch vụ xử lý hậu khai thác (post-exfiltration processing service). Dịch vụ này tiếp nhận dữ liệu doanh nghiệp thô bị đánh cắp và chuyển đổi chúng thành thông tin tình báo có cấu trúc, có thể bán được cho những người mua thuộc giới tội phạm.
Leak Bazaar: Nền Tảng Chuyển Đổi Dữ Liệu Đánh Cắp
Sự xuất hiện của Leak Bazaar phản ánh một thực trạng đang ngày càng phổ biến trong các hệ sinh thái tội phạm. Khi nạn nhân ransomware từ chối trả tiền chuộc, dữ liệu bị đánh cắp thường mất đi đòn bẩy gây áp lực ban đầu.
Các bãi dữ liệu thô (raw data dumps) thường rất lớn, vô tổ chức và chứa nhiều thông tin nhiễu. Điều này bao gồm các tệp hệ thống, bản ghi trùng lặp, dữ liệu xuất bị lỗi và các bản lưu trữ cơ sở dữ liệu không thể đọc được.
Leak Bazaar tuyên bố giải quyết chính xác vấn đề này bằng cách làm sạch, phân tích cú pháp và đóng gói dữ liệu bị đánh cắp. Mục tiêu là biến dữ liệu thô thành một định dạng mà người mua có thể thực sự sử dụng và có giá trị.
Cơ Chế Vận Hành và Công Nghệ Xử Lý
Dịch vụ ẩn của Leak Bazaar đã đi vào hoạt động cùng ngày với quảng cáo của Snow trên diễn đàn. Các nhà nghiên cứu của Flare đã chỉ ra rằng quảng cáo này nổi bật không phải vì thương hiệu của nó, mà vì nó xác định một khoảng trống hoạt động cụ thể trong nền kinh tế tống tiền và xây dựng toàn bộ mô hình kinh doanh để lấp đầy khoảng trống đó. Xem thêm tại: Leak Bazaar: Inside a New Criminal Platform.
Thay vì chỉ đơn thuần lưu trữ các kho lưu trữ bị đánh cắp, nền tảng này mô tả một cơ sở hạ tầng máy chủ được thiết kế để phân tích sâu các bãi dữ liệu lớn của doanh nghiệp. Quá trình này bao gồm:
- Phân tích văn bản hỗ trợ bởi Học máy (ML-assisted text analysis): Để trích xuất thông tin có liên quan.
- Loại bỏ tự động các mảnh vụn hệ thống (automated removal of system debris): Loại bỏ các tệp không cần thiết hoặc gây nhiễu.
- Kỹ thuật đảo ngược cơ sở dữ liệu (database reverse engineering): Để hiểu cấu trúc và khôi phục dữ liệu.
- Phân tích cú pháp ERP (ERP parsing): Xử lý dữ liệu từ các hệ thống hoạch định tài nguyên doanh nghiệp.
- Xác thực bởi chuyên gia phân tích con người (human analyst validation): Đảm bảo chất lượng trước khi bất kỳ tài liệu nào đến tay người mua.
Sự kết hợp giữa xử lý tự động bằng máy móc và đánh giá của con người định vị Leak Bazaar là một dịch vụ tình báo được quản lý (managed intelligence service), chứ không phải là một kho dữ liệu thô đơn thuần.
Tiêu Chí Dữ Liệu và Mô Hình Chia Sẻ Doanh Thu
Nền tảng này nhắm mục tiêu vào dữ liệu doanh nghiệp từ các tổ chức có doanh thu hàng năm trên mười triệu đô la. Leak Bazaar yêu cầu dung lượng dữ liệu tối thiểu 100 GB và ưu tiên các gói dữ liệu từ một terabyte trở lên.
Snow đặc biệt yêu cầu các tài liệu chưa được công bố, chủ yếu bằng tiếng Anh. Đây là một bộ lọc chất lượng rõ ràng, cho thấy nền tảng này tập trung vào nội dung có giá trị thương mại và có thể bán lại.
Tất cả các giao dịch đều được thực hiện thông qua dịch vụ bảo lãnh Exploit, bổ sung tính kỷ luật giao dịch vào thị trường. Leak Bazaar đưa ra tỷ lệ chia sẻ doanh thu bảy mươi-ba mươi (70-30) có lợi cho nhà cung cấp dữ liệu.
Có hai định dạng bán hàng có sẵn:
- Mua độc quyền một lần (exclusive one-time purchase): Loại bỏ vĩnh viễn dữ liệu khỏi thị trường.
- Mô hình nhiều người mua (multi-buyer model): Cho phép bán lặp đi lặp lại cho nhiều người mua theo thời gian.
Phân Loại Dữ Liệu Rò Rỉ Theo Nhu Cầu Người Mua
Một trong những khía cạnh quan trọng nhất của Leak Bazaar là cách nó phân loại tài liệu bị đánh cắp dựa trên nhu cầu của người mua, thay vì dựa trên cấu trúc ban đầu của dữ liệu nạn nhân. Snow mô tả việc chia nội dung đã xử lý thành các phân khúc có giá trị cao, bao gồm:
- Báo cáo tài chính hàng quý
- Dữ liệu sáp nhập và mua lại (M&A)
- Tệp nghiên cứu và phát triển (R&D)
- Hồ sơ dữ liệu cá nhân
Cách tiếp cận phân khúc thị trường này biến một kho lưu trữ cồng kềnh thành các sản phẩm được nhắm mục tiêu đến các đối tượng tội phạm khác nhau. Điều này có thể bao gồm các nhà giao dịch tài chính, đối thủ cạnh tranh của doanh nghiệp và những kẻ thực hiện hành vi gian lận danh tính. Các nhóm như Anubis cũng đã áp dụng một phương pháp tương tự, tạo ra các phân tích điều tra chi tiết về bộ dữ liệu của nạn nhân.
Leak Bazaar dường như đang chính thức hóa và thương mại hóa cùng một logic ở quy mô lớn hơn nhiều. Một bãi dữ liệu điển hình ở định dạng xuất SQL, SAP hoặc Oracle chỉ có giá trị sử dụng hạn chế trừ khi có người có thể khôi phục và giải thích nó.
Bằng cách chuyển đổi các kho lưu trữ phức tạp thành các bảng tính sạch và các trích xuất có cấu trúc, Leak Bazaar tuyên bố có thể khai thác giá trị mà lẽ ra sẽ bị chôn vùi trong tài liệu gốc bị rò rỉ.
Bước xác thực của chuyên gia phân tích con người của nền tảng bổ sung một lớp tin cậy cuối cùng cho các sản phẩm đã xử lý. Điều này làm cho sản phẩm trở nên hấp dẫn hơn đối với những người mua không đủ khả năng sàng lọc hàng terabyte dữ liệu nhiễu.
Tác Động Đến Mối Đe Dọa Mạng và Biện Pháp Phòng Ngừa
Các nhóm bảo mật nên xem sự xuất hiện của Leak Bazaar như một tín hiệu rõ ràng rằng một cuộc đàm phán tiền chuộc thất bại không còn là dấu chấm hết cho nguy cơ phơi nhiễm dữ liệu. Một khi dữ liệu doanh nghiệp đi vào một nền tảng như thế này, nó có thể bị tháo rời, định giá theo phân khúc và bán đi bán lại nhiều lần cho nhiều người mua trong một thời gian dài.
Các tổ chức được khuyến cáo mạnh mẽ nên thực hiện giám sát liên tục dark web để tìm kiếm dữ liệu bị lộ, tiến hành kiểm tra phân loại dữ liệu thường xuyên để hiểu rõ hơn về rủi ro khai thác. Đồng thời, xây dựng các giao thức ứng phó sự cố mở rộng vượt ra ngoài sự kiện vi phạm ban đầu.
Nguy cơ phơi nhiễm dữ liệu dài hạn hiện đã trở thành một hoạt động tội phạm có cấu trúc và có thể lặp lại. Việc chủ động trong việc bảo vệ dữ liệu và ứng phó với các cuộc tấn công là điều tối quan trọng.
