Чёрный рынок утечек данных в России схлопнулся из-за телеграм-ботов

Екатерина Быстрова 26 Января 2026 - 13:39

Общее

Утечки информации

Умышленные утечки информации

Кража данных

Даркнет

...

Чёрный рынок утечек данных в России схлопнулся из-за телеграм-ботов

Российский сервис разведки утечек данных и мониторинга даркнета DLBI подвёл итоги 2025 года — и картина получилась неожиданной. Полуоткрытый чёрный рынок утечек данных в России фактически схлопнулся. Но не потому, что утечек стало меньше.

По данным DLBI, за год в открытый и ограниченный доступ — включая даркнет-форумы и телеграм-каналы — попала 61 утечка, содержащая 36,5 млн уникальных телефонных номеров и 28,7 млн адресов электронной почты.

Это почти в семь раз меньше по числу утечек и в десять раз меньше по объёму, чем в 2024 году.

Лидерами по утечка в 2025 году стали логистика — на неё пришлось почти 60% всех данных, затем ретейл (18%) и электронная коммерция (6,5%). Для сравнения: год назад рынок выглядел иначе — тогда доминировала e-commerce, а в топ также входили развлекательные и медицинские сервисы.

Но ключевой тренд года — даже не статистика по отраслям. Количество новых утечек, которые вообще доходили до чёрного рынка, стабильно снижалось на протяжении всего года. В четвёртом квартале их стало меньше десяти.

Как объясняет основатель DLBI Ашот Оганесян, это не признак победы над утечками. Причина куда прозаичнее — рынок «перехватили» боты-пробивщики в Telegram. Их владельцы скупают любые более-менее ценные базы на условиях эксклюзива, из-за чего данные просто не появляются в открытой продаже.

По оценке DLBI, в 2025 году произошло ещё как минимум 40 значимых утечек, которые не попали даже в ограниченный доступ. Все они были выкуплены владельцами телеграм-ботов для дальнейшей розничной перепродажи. А на открытом рынке остались в основном «второстепенные» базы — доставка, программы лояльности, покупки в интернет-магазинах. То есть данные, за которые никто не готов платить эксклюзивно.

В итоге сложилась парадоксальная ситуация: открытый чёрный рынок почти исчез, но торговля персональными данными никуда не делась — она просто ушла в закрытые экосистемы телеграм-ботов и прямых продаж.

По словам Оганесяна, говорить о возможных изменениях можно будет лишь в двух случаях: если государство начнёт всерьёз преследовать такие сервисы за рубежом или если Telegram будет полностью заблокирован в России. Впрочем, даже в этом сценарии рынок, скорее всего, просто мигрирует на другие платформы и сайты.

Так что исчезновение объявлений об утечках — это не конец истории, а лишь смена формата. И далеко не самая успокаивающая.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Яков Шпунт 17 Апреля 2026 - 09:45

Трояны Фишинг Целевые атаки Таргетированные атаки Корпорации Государство F6

PhantomCore прикрылась визитом делегации из КНДР для атак на заводы

В апреле кибергруппировка PhantomCore применила новую тактику в кампании по распространению зловредов. Злоумышленники рассылали письма от имени МИД с сообщением о визите делегации из КНДР. Основной целью атаки стали промышленные предприятия. Вредоносная рассылка велась на протяжении апреля и была нацелена преимущественно на промышленные компании.

Как сообщают специалисты компании «Эфшесть» / F6, письма отправлялись с фейкового адреса, замаскированного под МИД. В них содержалось уведомление о визите делегации из КНДР для «ознакомления с действующими производственными технологиями».

К письмам были приложены файлы. Один из них маскировался под письмо руководителю, другой содержал якобы инструкции от МИД с деталями и порядком проведения визита. На деле эти документы служили приманкой и использовались как контейнеры для распространения вредоносного приложения.

«При запуске этих файлов происходит заражение компьютера пользователя трояном удалённого доступа, который позволяет злоумышленникам собирать информацию о заражённой системе, похищать из неё файлы и выполнять различные команды», — приводит компания подробности о зловреде.

Группировка PhantomCore заявила о себе в 2024 году. Однако некоторые образцы вредоносного кода, которые она использовала, как показал анализ F6, датируются ещё 2022 годом.

Изначально PhantomCore занималась кибершпионажем и кибердиверсиями, связанными с уничтожением данных, однако также проводила финансово мотивированные атаки с использованием шифровальщиков. Отличительной особенностью группировки считается применение зловредов собственной разработки и нестандартных способов их доставки. В качестве целей PhantomCore в основном выбирает российские и белорусские компании.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!