Introdução
Um novo serviço criminal conhecido como Leak Bazaar emergiu no ecossistema de cibercrime, representando uma evolução significativa na forma como dados corporativos exfiltrados são processados e comercializados. Diferente de sites tradicionais de vazamento de dados, a plataforma atua como um serviço de pós-exfiltração, convertendo arquivos brutos em inteligência organizada e vendável para compradores criminosos.
Descoberta e escopo
O serviço foi anunciado por um ator conhecido como "Snow", do grupo SnowTeam, em um fórum de cibercrime russo chamado TierOne (T1) em 25 de março de 2026. A iniciativa surge em um momento de frustração crescente dentro dos ecossistemas criminosos, onde vítimas de ransomware que se recusam a pagar deixam os dados roubados sem alavancagem imediata. O vazamento bruto tende a ser desorganizado, contendo arquivos de sistema, registros duplicados e exportações de banco de dados ilegíveis.
O Leak Bazaar afirma resolver esse problema limpando, analisando e empacotando os dados roubados em algo utilizável. A infraestrutura oculta do serviço foi ativada no mesmo dia do anúncio no fórum. Pesquisadores da Flare notaram que o anúncio se destaca não pela marca, mas por identificar uma lacuna operacional na economia de extorsão e construir um modelo de negócios inteiro para preenchê-la.
Processamento e análise de dados
A plataforma descreve uma infraestrutura de servidor projetada para análise profunda de grandes volumes de dados corporativos. O processo utiliza análise de texto assistida por machine learning, remoção automatizada de resíduos do sistema, engenharia reversa de banco de dados e análise de sistemas ERP. Antes que qualquer material chegue aos compradores, há uma validação por analistas humanos.
Essa combinação de processamento de máquina e revisão humana posiciona o Leak Bazaar como um serviço de inteligência gerenciado, em vez de um armazém de dados bruto. O serviço segmenta o conteúdo processado em segmentos de alto valor, incluindo relatórios financeiros trimestrais, dados de fusões e aquisições, arquivos de pesquisa e desenvolvimento e registros de dados pessoais.
Alvos e requisitos
O Leak Bazaar direciona dados corporativos de organizações com receitas anuais acima de dez milhões de dólares. A plataforma exige volumes de pelo menos 100 GB e prefere um terabyte ou mais. O Snow solicita especificamente material inédito, predominantemente em inglês, um filtro de qualidade claro que sinaliza o foco da plataforma em conteúdo comercialmente valioso e revenda.
Todas as transações são realizadas por meio do serviço de garantidor Exploit, adicionando disciplina transacional ao mercado. O Leak Bazaar oferece uma divisão de receita de setenta para trinta em favor do fornecedor de dados. Dois formatos de venda estão disponíveis: uma compra exclusiva única que remove os dados do mercado permanentemente, e um modelo multi-comprador que permite vendas repetidas a múltiplos compradores ao longo do tempo.
Implicações para segurança corporativa
A emergência do Leak Bazaar sinaliza que uma negociação de resgate falha não marca mais o fim do risco de exposição de dados. Uma vez que os dados corporativos entram em uma plataforma como esta, podem ser desmontados, precificados por segmento e vendidos repetidamente a múltiplos compradores por um longo período.
As equipes de segurança devem tratar isso como um sinal claro de que o risco de exposição de dados persiste além do evento inicial de violação. As organizações são fortemente aconselhadas a implementar monitoramento contínuo da dark web para dados expostos, realizar auditorias regulares de classificação de dados para entender os riscos de exfiltração e construir protocolos de resposta a incidentes que se estendam bem além do evento inicial.
O que os CISOs devem fazer imediatamente
1. Implementar monitoramento contínuo da dark web para dados corporativos sensíveis. 2. Realizar auditorias regulares de classificação de dados para entender o que está sendo exfiltrado. 3. Estender os protocolos de resposta a incidentes para incluir a gestão do longo prazo da exposição de dados. 4. Considerar a possibilidade de que dados não pagos podem ser processados e vendidos em mercados estruturados.
Perguntas frequentes
O que é o Leak Bazaar? É um serviço de pós-exfiltração que processa dados roubados brutos em inteligência vendável. Quem opera o serviço? Um ator conhecido como Snow, do grupo SnowTeam. Quais são os requisitos de dados? Organizações com receita acima de 10 milhões de dólares e volumes de pelo menos 100 GB.