Hackeři dělají z podvodů výdělečný byznys. Ukradená data prodávají dál a vydělávají na obětech zas a znovu

Na darknetu se objevila služba, která z ukradených firemních dat dělá opakovaně prodejný produkt, s katalogem, analytickým zpracováním a provizním modelem 70/30.

Zdroj fotografie: Pexels

Představte si, že vaše firma odmítne zaplatit výkupné. Útočníci nezašifrovali servery, ale stáhli několik gigabajtů interních dokumentů: finanční výkazy, smlouvy, databáze zákazníků, vývojovou dokumentaci. Dřív by takový výpis skončil na stránce úniku jako veřejná ostuda a páka k zaplacení. Dnes ho někdo vezme, vyčistí, roztřídí podle typu kupce a nabídne k prodeji. Jednou, dvakrát, pětkrát. Přesně takhle funguje Leak Bazaar, služba, kterou v březnu 2026 inzeroval uživatel Snow na ruském undergroundovém fóru TierOne a kterou jako první podrobně rozebrala analytička Tammy Harper z firmy Flare.

Z datového smetiště obchodní katalog

Leak Bazaar se neprezentuje jako další leak site, kam se nahraje archiv a čeká se, kdo si ho stáhne. Staví se do role zpracovatelské mezivrstvy. Z neuspořádaných firemních skládek slibuje udělat kategorizované balíky: čtvrtletní finanční zprávy, materiály z fúzí a akvizic, výzkumné a vývojové dokumenty, osobní data zaměstnanců i klientů. K tomu nabízí parsing databází a ERP exportů, strojovou analýzu textů a lidskou validaci výsledků.

Prodejní model má dvě varianty. Exkluzivní prodej znamená jednoho kupce za plnou cenu, data se po transakci stáhnou z nabídky. Režim multi-buyer naopak drží materiál v katalogu za nižší jednotkovou cenu, ale generuje výnos opakovaně. Výdělek se dělí v poměru 70 % pro dodavatele dat a 30 % pro platformu. A jako bonus Leak Bazaar nabízí i konzultace při vyjednávání s obětí – zpracovaná data slouží jako silnější páka pro vydírání.

Proč teď: ransomware naráží na strop

Tohle není náhoda. Celý ekosystém ransomwaru je pod dvojím tlakem. Na jedné straně stojí oběti, které platí méně ochotně než kdykoli dřív. Podle Chainalysis klesl podíl zaplacených výkupných v roce 2025 na odhadovaných 28 %, historické minimum. Coveware uvádí ještě drsnější číslo: u útoků založených čistě na krádeži dat bez šifrování zaplatilo výkupné jen 19 % obětí ve třetím čtvrtletí 2025.

Na druhé straně přituhuje policejní tlak. Americké ministerstvo spravedlnosti v letech 2025–2026 oznámilo koordinovaný zásah proti skupinám BlackSuit/Royal i Phobos a odsoudilo ruského zprostředkovatele počátečních přístupů Alexeje Volkova, který prodával přístupy ransomwarovým gangům. RUSI ve své analýze z března 2026 konstatuje, že protiopatření jsou „ambicióznější než dřív“.

Paradoxem je, že počet nahlášených obětí přitom v roce 2025 vzrostl o 50 %. Útočníků přibývá, ale výnos na jeden útok klesá. Právě tady se otevírá prostor pro model, který z jednoho průniku vytěží víc než jednorázové výkupné.

Co to znamená pro české firmy

Veřejný monitoring ransomware.live k polovině června 2026 eviduje pro Česko 76 položek v leak-site ekosystému. Mezi novějšími záznamy figurují například firma FIZA, společnost ExpoCredit, Vysoká škola finanční a správní, základní škola v Havířově-Podlesí nebo město Jemnice. Jde o veřejné záznamy únikových sítí, nikoli oficiálně potvrzený seznam, ale ilustrují, že české subjekty rozhodně nejsou mimo dosah.

Přímo na Leak Bazaaru se česká oběť zatím veřejně neobjevila. Samotná platforma měla podle monitoringu devět obětí za 90 dní od dubna 2026 a aktuálně je vedena ve stavu „offline“. Jenže princip, který představuje, nekončí jednou službou. Je to šablona, kterou může převzít kdokoli.

Platit, nebo neplatit, a co potom

NÚKIB ve svém veřejném doporučení k ransomwaru říká jasně: neplaťte. Zaplacení nezaručuje ani odblokování systémů, ani smazání ukradených dat a motivuje útočníky k dalším útokům. V modelu sekundární monetizace je tahle rada ještě naléhavější – i kdybyste zaplatili, data mohou dál kolovat v katalogu pro další kupce.

Obrana proto musí počítat nejen se šifrováním, ale i s exfiltrací:

• Segmentace sítě a omezení laterálního pohybu
• Zálohy offline, mimo dosah útočníka
• Bezpečnostní logy uložené mimo hlavní doménu
• Připravený plán reakce, technický, právní a komunikační
• Po incidentu: izolace systémů, bitové kopie, sběr indikátorů kompromitace, kontakt na NÚKIB a Policii ČR

Experiment, nebo nový standard?

Experti zatím brzdí velké závěry. Jamie MacColl z RUSI upozorňuje, že většina kyberzločinců dělá to nejméně pracné s nejvyšším výnosem, a hlubší analýza každého „datového tržiště“ do této logiky zatím úplně nezapadá. Harper z Flare dodává, že půjde o první veřejně doloženou návratnost tohoto modelu.

Přesto je posun zřetelný. Data přestávají být jednorázovou pákou a stávají se opakovaně obchodovatelným aktivem. Leak Bazaar možná skončí jako epizoda. Ale směr, který ukazuje – vytěžit z jednoho průniku druhý, třetí a čtvrtý výnos – ten už z podzemní ekonomiky nezmizí.