Мертвые базы и живые деньги: расследование повторной монетизации баз данных и анализ поведения игроков теневого рынка

Каждый год аналитики кибербезопасности фиксируют сотни публикаций баз данных на теневых ресурсах. Однако гораздо реже задается вопрос, кто и как продолжает использовать эти данные спустя месяцы и годы после первоначальной публикации.

В исследовании мы проанализировали не столько вторичный рынок утекших данных, сколько действия конкретных участников теневого сообщества. Мы проследили, как старые опубликованные базы данных повторно появляются в продаже, как формируется иллюзия нового инцидента и какие схемы используют отдельные игроки для повторной монетизации данных. Стоит отметить, что анализ вторичного рынка и поведения его участников является важным фактором для прогнозирования киберугроз и снижения рисков для организаций.

Основной фокус в исследовании сделан на кейсах, связанных с использованием громких имен и созданием сетей аффилированных аккаунтов. Исследование построено как цифровое расследование: анализировались публикации, контактные данные, пересечения аккаунтов и конфликты между продавцами. Мы изучили более 30 источников, среди которых теневые форумы и Telegram-каналы, посвященные киберпреступной деятельности, а также открытые источники.

Исследование будет полезно специалистам по информационной безопасности, аналитикам угроз (threat intelligence), а также организациям и частным лицам, заинтересованным в понимании современных угроз, механизмов работы теневого рынка и возможных рисков, связанных со скомпрометированными базами данных.

• Одним из заметных трендов 2025 года стала массовая публикация в открытом доступе ранее приватных баз данных, в особенности принадлежащих компаниям из России и стран СНГ.

• Повторные публикации и перепродажи утекших данных усиливают интерес злоумышленников к компаниям, повышая вероятность атак и усложняя атрибуцию преступников.

• Злоумышленники выдают старые публичные базы данных за новые или приватные утечки.

• Продажа старых баз данных под видом новых утечек позволяет злоумышленникам привлекать внимание аудитории, повышать собственную репутацию в подпольной среде и монетизировать старые утечки, не имея фактического доступа к инфраструктуре жертвы.
• Эксплуатация узнаваемых и громких имен повышает доверие со стороны участников теневого сообщества и ускоряет монетизацию данных. Например, киберпреступники используют имена ShinyHunters и Babuk Locker¹. При этом создается сеть каналов и аккаунтов, которые копируют стиль легитимных группировок.
• Поддельные аккаунты появляются на теневых форумах, однако система репутации и внутреннего контроля позволяет быстро пресекать их деятельность. Основная площадка для подобной активности — Telegram.

В инфополе регулярно наблюдаются сообщения об утечках данных компаний и о появлении очередных баз в открытом доступе или на дарквеб-форуме. Подобные новости вызывают большой резонанс, но быстро теряют актуальность. Утечки постоянно сменяют друг друга, за счет чего может сформироваться ложное ощущение, что после первичного появления базы данных в публичном доступе ее ценность для злоумышленников исчезает. Так, одним из заметных трендов 2025 года стала массовая публикация ранее приватных баз данных, в особенности принадлежащих компаниям из России и стран СНГ. Данные, которые еще недавно распространялись в закрытых сообществах или продавались за деньги, все чаще появляются в публичных или полуприватных Telegram-каналах или на форумах.

Однако реальность теневого сегмента выглядит иначе. Даже давно опубликованные и формально мертвые базы² продолжают циркулировать, перепродаваться и использоваться в преступных целях. Более того, вокруг таких данных формируется отдельная экономика, в которой ценность определяется не новизной утечки, а возможностью ее повторно монетизировать. Характерным индикатором этого процесса становятся конфликты между продавцами баз данных. Обвинения и споры об эксклюзивности нередко вскрывают реальные механизмы рынка и показывают, как именно старые утечки продолжают приносить деньги. В результате формируются схемы повторной монетизации и даже маскировки под известные группировки — злоумышленники активно используют их узнаваемые имена, чтобы усилить доверие к своим публикациям и продажам, превращая мертвые базы данных в реальный источник дохода.

Наличие утекших данных в публичном или полузакрытом доступе не означает, что угроза для организации исчерпана. Напротив, повторная циркуляция старых баз и их постоянное появление на теневых ресурсах нередко приводит к росту интереса со стороны злоумышленников. Организация, чьи данные продолжают фигурировать в продаже или в открытой публикации, фактически остается в поле зрения киберпреступников на протяжении длительного времени.

Одним из рисков является использование таких данных в фишинговых атаках. Даже устаревшие базы позволяют злоумышленникам формировать более убедительные сценарии, например использовать реальные имена клиентов и сотрудников, адреса электронной почты, номера телефонов, сведения о заказах или финансовых операциях. Аналогичным образом такие данные могут применяться против подрядчиков и поставщиков организации, особенно если в утечке присутствуют контакты ответственных лиц, данные о договорах или внутренних процессах взаимодействия.

Кроме того, в утекших наборах данных нередко хранится информация об инфраструктуре компании.

Это могут быть:

• внутренние домены и поддомены;

• названия сервисов;

• идентификаторы систем;

• учетные записи;

• IP-адреса;

• используемые почтовые шлюзы или сторонние платформы.

Даже если часть этой информации устарела, она может использоваться для первичной разведки, понимания злоумышленниками инфраструктуры и подготовки более сложных атак. В совокупности это значительно повышает вероятность успешных атак как на саму организацию, так и на ее цепочку поставок.

Отдельную угрозу представляют учетные данные, содержащиеся в утекших базах. Даже если утечка произошла несколько лет назад, часть логинов и паролей могут оставаться актуальными. Практика показывает, что многие либо используют пароли повторно, либо меняют их незначительно, а зачастую и вовсе не обновляют учетные данные после инцидента. В результате старые данные применяются для атак методом перебора паролей или для получения первоначального доступа к корпоративным системам.

В совокупности такие факторы усложняют прогнозирование угроз для организаций. Риск создают не только текущие инциденты. Существенный вклад вносит «наследие» прошлых утечек, которые продолжают циркулировать на теневом рынке и привлекают к компании повышенное внимание злоумышленников. Тем самым учет вторичного рынка утечек является одним из важных факторов при оценке актуальных рисков и построении моделей угроз.

На фоне массового распространения утекших баз данных в открытом доступе возникает ситуация, при которой сам факт публикации данных начинает восприниматься как новый инцидент. Этим активно пользуются отдельные группировки и одиночные участники теневого рынка, которые выдают ранее скомпрометированные и уже публичные данные за результат свежих взломов, чтобы привлечь к себе внимание и повысить репутацию в киберпреступном сообществе. Такая практика формирует картину угроз, в которой граница между реальным инцидентом и повторной эксплуатацией старых данных размывается.

Один из характерных примеров такого подхода демонстрирует группировка RED EYES. В канале злоумышленников 16 января было опубликовано заявление о якобы совершенном взломе платформы саудовской компании Yamm, предоставляющей автоматизированные решения для управления возвратами, обменами и послепродажным обслуживанием для электронных магазинов. Публикация сопровождалась утверждениями о компрометации инфраструктуры и предложением о продаже базы данных, утечка которой позиционировалась как результат нового инцидента³.

Вскоре после публикации заявления исследователь, специализирующийся на анализе киберугроз (CTI) в Ближневосточном регионе, опубликовал разбор этой утечки, указав, что она уже фигурировала в дарквебе и не может рассматриваться как новый инцидент. Проведенный анализ показал, что распространяемые данные относятся к утечке, опубликованной еще в июле 2025 года. Они были выложены участником подпольных форумов под никнеймом 888. База содержит записи, связанные с запросами и возвратами клиентов, включая идентификаторы заказов, суммы возвратов и информацию о клиентах, при этом отсутствуют какие-либо признаки недавнего несанкционированного доступа или появление новых данных. Анализ исследователя подтверждает, что используются те же наборы данных и идентичная структура полей. 

Другим примером стало заявление той же группировки RED EYES, опубликованное 16 января, якобы о взломе саудовской компании Baran.

В публикации утверждалось, что злоумышленникам удалось выгрузить порядка 21 ГБ данных. Сама же база была выставлена на продажу за 600 долларов. Однако последующий анализ показал, что распространяемые данные не являются уникальными или недавно скомпрометированными. Утечка была опубликована другой группировкой еще в феврале 2025 года и с тех пор находилась в публичном доступе. Как и в случае с Yamm, речь идет не о новом взломе, а о повторной коммерциализации уже известных и ранее раскрытых данных.

Поведение, демонстрируемое группировкой, не уникально — это глобальный тренд теневых рынков, особенно за пределами жестко модерируемых сообществ. Старые утечки вновь представляются как свежие данные и позволяют преступникам одновременно решать несколько задач:

• привлекать внимание аудитории;
• повышать собственную репутацию в подпольной среде;
• монетизировать старые утечки, не имея фактического доступа к инфраструктуре жертвы.

Таким образом, вокруг устаревших данных формируется отдельная экосистема, однако сама практика выдачи старых утечек за новые нередко осуждается даже в теневом сообществе.

На первый взгляд может показаться, что после публикации базы данных в открытом доступе интерес к ней должен снижаться. Логика проста: если данные уже опубликованы и доступны всем, то их коммерческая ценность якобы утрачена. Однако практика показывает обратное. Вопрос заключается не столько в том, находятся ли данные в публичном доступе, сколько в уровне осведомленности самих злоумышленников. Знают ли они, что база уже была выложена ранее, способны ли оценить ее реальное происхождение. При этом на рынке всегда найдутся те, кто готов продавать публичные данные под видом эксклюзивных, и те, кто готов их покупать, не проверяя источники.

Примером сохраняющегося интереса к уже опубликованным базам данных является активность на подпольных форумах. Так, 5 января 2026 года один из пользователей опубликовал запрос на покупку базы данных российской микрофинансовой компании «Займер», специализирующейся на быстрых онлайн-займах. Судя по контексту обсуждения, речь шла о массивах, связанных с доменами zaymer[.]ru и zaymer[.]kz. При этом заявление о компрометации данных сервиса было опубликовано еще в 2024 году.

Несмотря на это, сам факт запроса показывает, что база данных по-прежнему считается ценной. Причины могут быть разными: например, покупатель мог не знать об утечке или рассчитывать, что продавец обладает более полной версией данных. То, что такие базы данных продолжают искать и предлагать к продаже даже спустя годы после их публикации, подтверждает устойчивый спрос на уже опубликованные данные. Все это как раз показывает, что публично доступная утечка не делает ее автоматически бесполезной с коммерческой точки зрения.

Иногда тенденции дарквеб-рынка становятся видимыми не через новые публикации данных, заявления или обсуждения, а через поведение самих пользователей. Именно такая ситуация наблюдается вокруг баз данных: конкуренция за прибыль и репутацию, а также стремление доказать эксклюзивность своих данных, иногда приводят к открытым конфликтам между участниками теневого рынка. Для аналитиков кибербезопасности такие эпизоды представляют ценность не столько как инфоповод, сколько как источник информации о реальных механизмах монетизации утекших данных.

Один из подобных конфликтов развернулся между двумя продавцами баз данных, регулярно действующими в Telegram и на популярных теневых ресурсах. Поводом для противостояния стали обвинения в продаже баз данных, которые, по утверждению одной из сторон, уже длительное время находились в публичном доступе и ранее публиковались бесплатно, хотя другой стороной реализовывались под видом эксклюзивных.

Все началось с того, что один из пользователей чата попытался продать базу данных, якобы ранее приобретенную его знакомым. На предложение моментально отреагировали другие участники сообщества, утверждая, что база давно находится в публичном доступе и не является эксклюзивной. Среди комментаторов оказался и владелец одного из каналов по распространению и продаже утечек под ником Nickname (имя скрыто), который подтвердил эту информацию. В ответ продавец базы пригрозил ему возможным доксингом⁴, указывая, что тот может пострадать за распространение публичных баз.

Обсуждение перешло в канал пользователя Solonik (поскольку он же и продавал базу данных), который, по заверениям участников, занимается перепродажей ранее опубликованной информации.

Этот пользователь не был случайным участником. С января 2026 года Solonik опубликовал более 100 сообщений на одном из крупных дарквеб-форумов, позиционируя их как публикации свежих утечек данных различных компаний.

Примечательно, что форумная активность носила вспомогательный характер. Публикации использовались как инструмент привлечения внимания и формирования интереса — затем люди последовательно перенаправлялись в Telegram-канал и чат. Именно там происходило основное взаимодействие с аудиторией и последующая монетизация. Наибольший резонанс вызвала публикация, связанная с якобы новой утечкой данных одной из популярных социальных сетей. По заявлению автора, база включала информацию о 17 миллионах пользователей — имена, адреса электронной почты, номера телефонов и другие данные. Однако последующий анализ специалистов StealthMole показал, что эта утечка не являлась результатом недавнего взлома.

Таким образом, кейс демонстрирует характерную стратегию: за счет подачи устаревших данных как актуального инцидента создается эффект новизны, привлекается внимание и формируется узнаваемость аккаунта. В дальнейшем трафик с форумов конвертируется в аудиторию Telegram-каналов, где происходит основное взаимодействие и монетизация.

Для дополнительного подтверждения того, что Solonik продает публично доступные базы данных, мы проанализировали его посты на популярном теневом форуме. В случае с базой trudvsem[.]ru, опубликованной 7 января 2026 года, он предлагал данные за 8 тысяч долларов, хотя с ноября 2025 года они уже находилась в публичном доступе и активно распространялась в Telegram-каналах. 

Solonik, прибегнув к доксингу, обнародовал личную информацию пользователя Nickname, дополнительно утверждая, что этот участник сообщества систематически продает публичные данные.

Конфликт не ограничился гневными публикациями в каналах с обеих сторон. Пользователь Solonik был в итоге забанен на одном из крупных форумов за распространение старых баз данных под видом новых.

В ответ он заявил о намерении создать собственный форум, где будет выкладывать все базы данных, собранные на теневых ресурсах, включая BreachForums, DarkForums и LeakBase. Никакой активности после этого не последовало.

Особое внимание привлекло заявление о доходах администратора канала. По его словам, за один месяц он заработал около 130 тысяч долларов. Это доказывает, что ранее опубликованные базы продолжают приносить существенный доход и формируют устойчивую экономику вторичного рынка утекших данных.

Конфликты в теневых сообществах являются ценным источником информации — они позволяют лучше понимать мотивацию злоумышленников и функционирование киберпреступной экосистемы в целом. Перепродажа старых утечек в этом контексте представляется особенно показательным примером, так как попытка нажиться на «коллегах» почти всегда осуждается и приводит к скандалам. Тем не менее множество злоумышленников стремятся заработать любым способом, в том числе используя недостаточную осведомленность отдельных участников теневого сообщества. Для повышения своего заработка они стараются в кратчайшие сроки создать себе репутацию, чтобы их предложения выглядели более правдоподобно.

В контексте теневых ресурсов под приватной базой данных понимаются наборы данных, которые не находятся в открытом доступе и не публиковались массово в публичных каналах или на форумах. Такие базы могут циркулировать в узких кругах (внутри закрытых чатов, между отдельными продавцами и покупателями) либо использоваться в инфраструктуре сервисов и ботов для «пробива».

Одним из заметных трендов 2025 года стала массовая публикация подобных приватных баз. Участники сообщества могут в своих интересах начать распространять закрытую информацию или банально потерять осторожность. Так, один участник сообщества рассказывал, что делился базой с ограниченным кругом людей, но она вскоре оказалась в открытом доступе. Кроме того, после продажи приватной базы нескольким покупателям ее могут опубликовать, если она устарела или потеряла ценность.

Передача данных внутри закрытых чатов или между партнерами по сделке также может обернуться утечкой, если кто-то решает продать или опубликовать базу отдельно. В результате приватные базы данных, даже полученные ограниченным числом злоумышленников, рано или поздно оказываются в публичном доступе, что делает их потенциально опасными для организаций, чьи данные они содержат.

На теневом рынке данных активность не ограничивается перепродажей уже публичных баз. Наряду с этим используется и другой механизм — эксплуатация чужого имени и репутации. Злоумышленники выдают себя за известные группировки, публикуют информацию от их лица и тем самым пытаются повысить доверие к своим заявлениям и продаваемым данным.

Группировка ShinyHunters, впервые заявившая о себе в 2020 году, на протяжении многих лет занимает заметное место в иерархии киберпреступников и ассоциируется с крупными утечками данных, громкими заявлениями и атаками на известные компании (например, Tokopedia или Santander Bank). Кроме того, они монетизировали базы данных на различных теневых форумах, таких как RaidForums и BreachForums. Примечательно, что группа выступала на этих платформах не только как автор громких публикаций, но и в качестве администратора, что дополнительно усиливало ее влияние и узнаваемость.

Поскольку имя ShinyHunters хорошо известно как в теневом сообществе, так и за его пределами, любые заявления, сделанные от лица группировки, автоматически привлекают внимание со стороны исследователей, СМИ и других участников теневого сообщества. По мере роста популярности имя ShinyHunters стало использоваться не только самой группировкой, но и сторонними участниками теневого рынка, стремящимися извлечь выгоду из уже сформированной репутации.

При анализе действий пользователя Solonik (участника конфликта, разобранного выше) привлекла внимание одна интересная деталь: 10 января 2026 года на одном из форумов он написал пост, в котором опубликовал базу данных компании Fuse.

Через несколько дней, 14 января 2026 года, уже на другом форуме появился аналогичный пост от аккаунта, который, как казалось, аффилирован с ShinyHunters. 

Тот же аккаунт опубликовал 12 января резонансный пост — базу данных DELL. Причем пост был выложен от имени ShinyHunters совместно с Lapsus$ (по заявлению автора), что сразу же привлекло внимание как исследователей, так и участников теневого сообщества.

Однако после детального анализа несколько экспертов пришли к выводу, что опубликованные данные являются поддельными.

Более того, 12 января 2026 года на одном из своих официальных ресурсов группировка Lapsus$ заявила, что на данный момент она ни с кем не сотрудничает.

Впоследствии аккаунт, выдававший себя за ShinyHunters, был заблокирован за публикацию поддельных данных и попытку присвоить себе чужое имя.

Этот случай показывает, что подобные аккаунты могут появляться на теневых форумах, однако система репутации и внутреннего контроля со стороны администрации и участников сообщества функционирует достаточно эффективно. После проверки и обсуждений профили могут быть заблокированы. Подобная практика указывает на стремление площадки поддерживать уровень доверия к ресурсу: репутационные механизмы и публичные обсуждения спорных публикаций выступают инструментом регуляции, позволяя снижать уровень мошенничества на теневых ресурсах.

Помимо форумов, ключевую роль в распространении и монетизации баз данных под брендом ShinyHunters играет Telegram, где подобные схемы получают значительно больший охват и скорость распространения.

При анализе активности поддельных ShinyHunters на форуме также был обнаружен Telegram-канал, который позиционировался как официальный. В этом канале 15 января был опубликован пост о базе данных компании Fuse, упоминавшейся ранее.

В ходе исследования было выявлено, что у владельца этого канала есть личный аккаунт. Он оформлен и ведется так, чтобы можно было подумать, что это официальный профиль оригинальной группировки.

Помимо личного аккаунта, у этого злоумышленника есть ряд Telegram-каналов (аффилированных и условно личных). Один из них напрямую использует название оригинального альянса Scattered Lapsus$ Hunters, что может вводить аудиторию в заблуждение и формировать ложное ощущение, что источник легитимный.

На первый взгляд создается впечатление, что речь действительно идет о реальной группировке ShinyHunters. Однако при дальнейшем анализе внимание привлекает продвигаемая связка Telegram-каналов, которую злоумышленник систематически рекламирует, хотя подобная практика ранее не была характерна для группировки ShinyHunters.

При этом в рамках той же сети связанных сообществ был обнаружен канал, использующий имя Babuk. Этот случай заслуживает отдельного внимания, к нему мы еще вернемся в рамках этого исследования.

Основным Telegram-каналом, в котором начали систематически публиковаться и продаваться базы данных, стал [Часть названия скрыта] V 4 F i l e s. В большинстве постов утечки приписываются группировке ShinyHunters, которая указывается как первоисточник компрометации данных.

При этом обнаружена закономерность — идентичные по структуре и содержанию посты публикуются в разных каналах, принадлежащих отдельным злоумышленникам. Отличие заключается лишь в указании того, кто именно стоит за утечкой. Например, так было с публикацией базы данных iwinv[.]kr.

Однако самое важное заключается в том, что утечка была опубликована задолго до этого, как минимум в сентябре 2025 года.

Ненастоящие ShinyHunters не только публикуют под своим именем старые базы данных, но и пытаются продавать уже публично доступную информацию. Например, злоумышленники разместили заявление о продаже базы данных utair[.]ru за 1 480 долларов, хотя подобные сообщения появлялись ранее и данные уже есть в публичном доступе. По количеству записей и содержимому база совпадает с опубликованной ранее в канале злоумышленника версией.

Как известно, оригинальные ShinyHunters разрабатывали собственный шифровальщик и использовали его для вымогательства у компаний. Восьмого августа 2025 года в Telegram появился новый канал Scattered Lapsus$ Hunters, название которого отсылает к группировкам ShinyHunters, Scattered Spider и Lapsus$. Участники канала объявили о разработке собственного RaaS (ransomware-as-a-service) под названием ShinySp1d3r.

Однако ненастоящие ShinyHunters также начали рекламировать собственный билдер шифровальщика, используя имя группировки для придания доверия продукту.

При этом детальный анализ прикрепленного видео дает понять, что представленный билдер шифровальщика был известен и использовался еще как минимум с 2018 года, то есть представляет собой уже давно публично доступный инструмент.

Примечательно, что в Telegram-канале, управляемом поддельными ShinyHunters, было заявлено, что BreachForums является ханипотом. При этом настоящие ShinyHunters после запуска нового DLS⁵ выложили базы данных на поддомене BreachForums. Заявление о том, что ресурс является приманкой, делается с одной целью — еще больше придать легитимность ненастоящим каналам и аккаунтам.

В процессе изучения активности поддельных ShinyHunters было выявлено несколько Telegram-аккаунтов, которые фигурируют в постах. Среди них:

• [Часть никнейма скрыта]psss

• [Часть никнейма скрыта]berserker

• [Часть никнейма скрыта]coins

Для более точного понимания их роли и аффилированности анализ был продолжен за пределами Telegram. Следующим шагом стало обращение к форумам, чтобы выявить упоминания этих аккаунтов и сопоставить их активность.

Такие упоминания действительно были обнаружены. В частности, 11 декабря 2025 года один из пользователей продавал на теневом форуме базу данных малайзийского банка. 

В объявлении о продаже базы данных были указаны контакты для связи — они совпадают с ранее выявленными аккаунтами в Telegram. Это связывает Telegram-каналы с торговлей на форумах и указывает на участие этих аккаунтов в более широкой схеме распространения и перепродажи информации.

Примечательно, что эта же база данных уже продавалась ранее. В 2025 году о ней писали поддельные представители Babuk. При этом описания утечки в обоих случаях практически полностью совпадают.

При изучении профиля AkiraHunters была выявлена еще одна интересная деталь: 15 января 2025 года пользователь опубликовал запрос на покупку базы данных Credit Institute of Vietnam (CIC). Речь идет о той же базе данных, которая ранее уже продавалась на теневых ресурсах от имени настоящих ShinyHunters.

Возникает логичный вопрос: зачем искать базу, которая, по идее, уже есть у этих злоумышленников? Более того, в канале поддельных ShinyHunters 20 января база данных тоже была выставлена на продажу.

Заметим, что аккаунт [Часть никнейма скрыта]berserker, аффилированный с ненастоящими ShinyHunters, попытался приобрести базу у одного из продавцов. При этом опять возникает вопрос: зачем покупать данные, которые уже есть у группировки?

В ходе сделки продавец запросил подтверждение наличия средств, а затем последовали обвинения в адрес покупателя. Продавец утверждал, что [Часть никнейма скрыта]berserker предоставил поддельные доказательства платежеспособности, назвав его скамером, и указал его мультиаккаунт⁶.

Кроме того, в одном из каналов другой группировки появилось сообщение, что участники, маскирующиеся под ShinyHunters, пытаются перепродать уже когда-то опубликованные базы.

Примечательно, что 22 января ShinyHunters запустили новый DLS. Но контакты на сайте отличаются от тех, которые фигурировали в Telegram-канале. И это еще раз наглядно указывает на то, что посты в Telegram публиковали ненастоящие ShinyHunters.

В поддельном Telegram-канале были указаны следующие контакты:

• XMPP: [Часть скрыта] psss@xmpp.jp

• Email: [Часть скрыта] pssss@dnmx.cc

Для дополнительной проверки обратимся к веб-архиву. На одном из форумов, на котором ShinyHunters официально публиковали украденные данные, опять же указаны отличающиеся от Telegram контакты. Аналогичная ситуация наблюдалась и на ранее доступном DLS.

Если кратко описать происходящее, схема выглядит следующим образом:

• используется громкое и узнаваемое имя известной группировки;
• из открытых и полуоткрытых источников собираются уже утекшие данные;
• затем следует активная публикация этих сведений и громких заявлений — для создания иллюзии высокой эффективности и непрерывной деятельности;
• после того как доверие сформировано, злоумышленники либо продают отдельные базы, либо предлагают платный доступ в приватные каналы. 

Стоимость такого доступа в случае с ненастоящими ShinyHunters может варьироваться от 200 до 1200 долларов.

Ранее в исследовании уже упоминалась схожая схема, связанная с именем Babuk. Подобный кейс также показателен, поскольку демонстрирует, что эксплуатация громкого названия - не единичный случай.

Активность вокруг Babuk (или Babuk Locker 2.0) фиксировались еще в 2025 году, несмотря на то что группировка прекратила деятельность в 2021-м. За короткий период злоумышленники, выдающие себя за Babuk, опубликовали данные десятков скомпрометированных компаний, однако, по оценкам исследователей, до 90% заявленных жертв были атакованы другими вымогателями.

Примечательно, что представители этих группировок обвиняли Babuk 2.0 в краже чужих опубликованных баз данных. Более того, настоящая группировка Babuk публично отрицала какую-либо связь с новой активностью. Схожие оценки высказывали и другие исследователи, указывая на противоречивые заявления и отсутствие признаков реальной компрометации инфраструктуры жертв.

Таким образом, схема Babuk Locker 2.0 практически зеркально повторяет ситуацию с фейковыми ShinyHunters. В обоих случаях мы видим:

• использование узнаваемого и авторитетного имени;

• присвоение чужих или ранее опубликованных баз данных;

• создание иллюзии активности;

• монетизацию через продажу информации или доступа в приватный канал.

Отдельного внимания заслуживают подтвержденные случаи мошенничества Babuk в Telegram. В частности, один из пользователей заявлял, что стал жертвой обмана и потерял 4 тысячи долларов.

В январе 2026 года пользователь, действующий под именем Babuk, вновь появился на одном из теневых форумов. Его активность сразу привлекла внимание других участников сообщества. Так, представитель группировки Vect спросил, зачем этот пользователь продолжает выдавать себя за Babuk.

Использование известных в подпольных сообществах имен с целью обмана — известный тренд. Причем под одним названием может параллельно действовать сразу несколько независимых группировок.

Даже формально мертвые базы продолжают циркулировать, перепродаваться и использоваться, что делает их источником потенциальной угрозы для организаций. Исследование показало, что злоумышленники действительно могут извлекать прибыль из относительно старых данных, а эксплуатация громких и узнаваемых имен привлекает внимание других киберпреступников.

В рамках анализа также была выявлена схема работы через несколько взаимосвязанных аккаунтов, что позволяет поддерживать видимость активности и усиливать доверие к публикациям. При этом попытки выдавать себя за известные группировки на ряде теневых форумов пресекаются — аккаунты могут блокироваться администрацией в рамках механизмов репутационного контроля.

Такие публикации повышают интерес киберпреступных группировок к различным компаниям, увеличивая вероятность того, что организации станут целью атак. Анализ публикаций утечек является одним из многих факторов для успешного прогнозирования угроз, наряду с мониторингом активности группировок, продаж доступов, появлением новых эксплойтов и другими индикаторами. Однако немаловажным является отслеживание поведения игроков на теневом рынке, так как это позволяет выявлять схемы их работы, понимать методы монетизации и определять принадлежность утечек баз данных конкретным группировкам или отдельным злоумышленникам. Поскольку киберпреступники могут использовать уже опубликованные данные, атрибуция становится сложнее и только сопоставление информации из разных источников помогает более точно определить, кто за ней стоит.

Подобный комплексный и проактивный подход позволяет выявлять потенциальные цели злоумышленников, предотвращать успешные атаки и снижать риск реализации недопустимых событий.