كشفت تقارير أمنية حديثة عن إطلاق خدمة جنائية جديدة تُعرف باسم “Leak Bazaar”، والتي تهدف إلى تحويل البيانات المسروقة من الشركات إلى سوق منظمة للمشترين ذوي الاحتياجات الإجرامية. ظهرت هذه الخدمة عبر منتدى “TierOne” (T1) للجرائم الإلكترونية باللغة الروسية، مما يشير إلى تطور محتمل في طريقة استغلال البيانات المسروقة.
تم الإعلان عن “Leak Bazaar” من قبل جهة فاعلة تُعرف باسم “Snow” من مجموعة “SnowTeam” في 25 مارس 2026. لا تُعد المنصة مجرد موقع تسريب بيانات تقليدي، بل تقدم نفسها كخدمة معالجة ما بعد الاستحواذ، حيث تقوم بتنظيم البيانات الخام المسروقة من الشركات وتحويلها إلى معلومات قابلة للبيع ومفيدة للمشترين.
يشير توقيت ظهور “Leak Bazaar” إلى تزايد الإحباط داخل الأنظمة الإجرامية. فعندما يرفض ضحية برامج الفدية الدفع، غالبًا ما تفقد البيانات المسروقة قوتها الضاغطة المباشرة.
عادةً ما تكون مستودعات البيانات الخام المجمعة ضخمة، وغير منظمة، ومليئة بالمعلومات غير ذات الصلة مثل الملفات النظامية، والسجلات المكررة، والمصادر غير الصحيحة، وأرشيفات قواعد البيانات غير القابلة للقراءة.
تدعي “Leak Bazaar” أنها تحل هذه المشكلة تحديدًا عن طريق تنظيف البيانات وفحصها وتعبئتها في شكل يمكن للمشترين استخدامه بالفعل. ودخلت الخدمة المخفية للمنصة حيز التنفيذ في نفس يوم ظهور إعلان “Snow” على المنتدى.
لاحظ باحثو “Flare” أن هذا الإعلان يبرز ليس بسبب علامته التجارية، بل لأنه يحدد فجوة تشغيلية واضحة في اقتصاد الابتزاز ويبني نموذج عمل كاملاً لسدها.
بدلاً من مجرد استضافة الأرشيفات المسروقة، تصف المنصة بنية تحتية للخوادم مصممة لإجراء تحليلات متعمقة لمجموعات البيانات الضخمة المستخرجة من الشركات. تستخدم المنصة تحليل النصوص بمساعدة التعلم الآلي، وإزالة تلقائية لنفايات النظام، وهندسة عكسية لقواعد البيانات، وتحليل لأنظمة تخطيط موارد المؤسسات (ERP)، والتحقق من قبل محللين بشريين قبل وصول أي مادة إلى المشترين.
هذه المجموعة من المعالجة الآلية والمراجعة البشرية تضع “Leak Bazaar” كخدمة معلومات مُدارة بدلاً من كونها مستودع بيانات خام.
تستهدف المنصة بيانات الشركات من المنظمات التي تتجاوز إيراداتها السنوية عشرة ملايين دولار، وتتطلب كميات لا تقل عن 100 جيجابايت، وتفضل أن تكون في حدود تيرابايت واحد أو أكثر.
يطلب “Snow” على وجه التحديد مواد غير منشورة، وبشكل أساسي باللغة الإنجليزية، مما يشير بوضوح إلى تركيز المنصة على المحتوى ذي القيمة التجارية والقابل لإعادة البيع.
تُجرى جميع المعاملات، بحسب التقارير، عبر خدمة الضمان “Exploit”، مما يضيف انضباطًا في المعاملات إلى السوق.
تقدم “Leak Bazaar” تقسيمًا للإيرادات بنسبة سبعين إلى ثلاثين لصالح مزود البيانات، مع توفر تنسيقين للمبيعات: شراء حصري لمرة واحدة يلغي البيانات من السوق بشكل دائم، ونموذج متعدد المشترين يسمح بالمبيعات المتكررة لمشترين متعددين بمرور الوقت.
تنظيم البيانات المسروقة حسب الطلب الإجرامي
أحد أهم جوانب “Leak Bazaar” هو كيفية تصنيفها للمواد المسروقة حول طلب المشتري بدلاً من البنية الأصلية لبيانات الضحية.
يصف “Snow” تقسيم المحتوى المعالج إلى شرائح عالية القيمة تتضمن التقارير المالية ربع السنوية، وبيانات الاندماج والاستحواذ، وملفات البحث والتطوير، وسجلات البيانات الشخصية.
يحول نهج تجزئة السوق هذا ما قد يكون أرشفة صعبة إلى منتجات مستهدفة تتوجه إلى مستهلكين إجراميين مختلفين، مثل المتداولين الماليين، والمنافسين التجاريين، ومشغلي الاحتيال بالهوية. اتخذت مجموعات مثل “Anubis” نهجًا مشابهًا، حيث قدمت تحليلات استقصائية مفصلة لمجموعات بيانات الضحايا.
يبدو أن “Leak Bazaar” تقوم بفرملة وتجارية هذا المنطق نفسه على نطاق أوسع بكثير. قاعدة بيانات نموذجية مجمعة بصيغة تصدير SQL أو SAP أو Oracle لا تحمل قيمة قابلة للاستخدام إلا إذا تمكن شخص ما من استعادتها وتفسيرها.
من خلال تحويل الأرشيفات المعقدة إلى جداول بيانات نظيفة ومقتطفات منظمة، تدعي “Leak Bazaar” أنها تستطيع فتح قيمة كانت ستبقى مدفونة داخل المواد الخام المستخرجة.
تضيف خطوة التحقق من قبل المحللين البشريين للمنصة طبقة أخيرة من المصداقية للمخرجات المعالجة، مما يجعل المنتج أكثر جاذبية للمشترين الذين لا يستطيعون تحمل فحص تيرابايتات من البيانات غير ذات الصلة.
يجب على فرق الأمن التعامل مع ظهور “Leak Bazaar” كإشارة واضحة إلى أن فشل مفاوضات دفع الفدية لم يعد يمثل نهاية خطر انكشاف البيانات.
بمجرد وصول بيانات الشركة إلى منصة مثل هذه، يمكن تفكيكها وتسعيرها حسب القطاعات وبيعها مرارًا وتكرارًا لعدة مشترين على مدى فترة طويلة.
يُنصح بشدة المؤسسات بتطبيق مراقبة مستمرة للويب المظلم للكشف عن البيانات المكشوفة، وإجراء عمليات تدقيق منتظمة لتصنيف البيانات لفهم مخاطر الاستحواذ، وبناء بروتوكولات الاستجابة للحوادث التي تمتد إلى ما بعد حدث الاختراق الأولي.
أصبح الذيل الطويل لانكشاف البيانات الآن عملية إجرامية منظمة وقابلة للتكرار.