Operação internacional removeu o domínio principal do LeakBase, preservou contas, mensagens, créditos e logs de IP para prova e mirou usuários ativos ligados à venda de bases vazadas e logs de infostealers.
| Componente | Fórum LeakBase, plataforma em inglês acessível pela clearnet para compra e venda de bases roubadas, credenciais, informações financeiras e ferramentas de cibercrime. |
| Vetor | Publicação e negociação de bancos de dados vazados e logs de infostealers por membros do fórum, com uso do domínio defangado leakbase[.]la antes da apreensão. |
| Impacto | Credenciais, dados financeiros e logs de malware poderiam apoiar tomada de contas, fraude e novas intrusões; autoridades preservaram contas, posts, créditos, mensagens privadas e logs de IP para fins probatórios. |
| Prioridade | Mapear exposição de credenciais em bases e logs de infostealers, resetar senhas afetadas, reforçar MFA, revisar acessos suspeitos e monitorar reaparecimento em domínio defangado leakbase[.]bz. |
| Escala | O fórum tinha mais de 142.000 membros e mais de 215.000 mensagens entre membros em dezembro de 2025. |
| Operação | A ação chamada Operation Leak ocorreu em 3 e 4 de março de 2026, com mandados de busca, prisões e entrevistas nos EUA, Austrália, Bélgica, Polônia, Portugal, Romênia, Espanha e Reino Unido. |
Uma operação internacional de aplicação da lei desmontou o LeakBase, um fórum de cibercrime usado para negociar dados roubados, credenciais e ferramentas associadas a abusos digitais. O domínio principal, leakbase[.]la, passou a exibir aviso de apreensão indicando controle pelo FBI dentro de uma ação coordenada com parceiros internacionais. O fórum era acessível pela clearnet, funcionava em inglês e acumulava uma base relevante de usuários: mais de 142.000 membros e mais de 215.000 mensagens entre participantes em dezembro de 2025. Esse volume torna a apreensão relevante não apenas pela remoção de uma vitrine de dados roubados, mas também pelo valor probatório do material preservado.
A infraestrutura apreendida incluía conteúdo do fórum, contas de usuários, publicações, créditos internos, mensagens privadas e logs de IP. Esses artefatos são importantes para investigações porque podem conectar aliases, histórico de negociação, reputação interna, movimentação de créditos e endereços de acesso. Em fóruns desse tipo, a confiança entre criminosos costuma depender de identidade persistente, histórico de vendas e comunicação privada; por isso, a preservação da camada transacional pode ter impacto maior que a simples derrubada do domínio. A ação também incluiu medidas contra 37 usuários considerados entre os mais ativos da plataforma, dentro de um conjunto aproximado de 100 medidas de execução distribuídas globalmente.
O LeakBase hospedava e comercializava bancos de dados comprometidos, incluindo grandes conjuntos de credenciais de contas, nomes de usuário, senhas associadas e informações financeiras como números de cartões de crédito e débito, dados de contas bancárias e informações de roteamento. O conteúdo também incluía logs de infostealers, que normalmente reúnem credenciais, cookies, tokens de sessão e outros artefatos coletados de sistemas infectados. Para defensores, a relevância técnica está na ligação direta entre vazamentos secundários e incidentes posteriores: um log vendido em fórum pode ser usado semanas ou meses depois para acesso não autorizado, fraude ou tentativa de autenticação em serviços corporativos.
O fluxo operacional do LeakBase combinava publicação de bases vazadas, negociação entre membros e disponibilização de artefatos úteis para acesso indevido. Em vez de depender de uma exploração única, o risco vinha do ecossistema: credenciais obtidas por malware, violações anteriores ou outros meios eram empacotadas e revendidas para atores interessados em tomada de contas, fraude ou reconhecimento de novos alvos. A presença de logs de infostealers aumenta a criticidade porque esses arquivos podem conter mais que pares de usuário e senha; eles frequentemente incluem contexto de navegador, URLs visitadas, carteiras, sessões e metadados que ajudam um invasor a selecionar contas com maior valor.
A operação chamada Operation Leak ocorreu em 3 e 4 de março de 2026 e envolveu ações nos Estados Unidos, Austrália, Bélgica, Polônia, Portugal, Romênia, Espanha e Reino Unido. Foram executados mandados de busca, prisões e entrevistas, além da apreensão do domínio principal. A apreensão do site reduz a disponibilidade imediata do mercado, mas não elimina automaticamente o risco para organizações cujas credenciais já circularam. Dados comprados antes da derrubada podem continuar em poder de terceiros, e a informação preservada pelas autoridades pode levar a novas ações contra vendedores, compradores e administradores.
A plataforma estava ativa desde junho de 2021. O contexto também liga a administração do fórum ao alias Chucky, associado a outros nomes usados em fóruns subterrâneos, como Chuckies, Sqlrip e beakdaz. Há menção a outros administradores e moderadores conhecidos, incluindo BloodyMery, OrderCheck e TSR. Relatos de análise de OSINT citados no contexto conectam o alias Chucky a perfis e dados vazados associados a uma pessoa de Taganrog, na Rússia, identificada por um investigador como Artem Kuchumov. Essa atribuição deve ser tratada com cuidado operacional: para defesa corporativa, o ponto central é a infraestrutura e o comércio de dados, não a suposição de que todo conjunto vendido no fórum tenha origem em um único operador.
O fórum teria adotado uma regra para proibir a publicação ou venda de bases russas, aparentemente para reduzir atrito com determinados interesses ou evitar atenção. Esse padrão é comum em mercados ilícitos que tentam controlar risco jurisdicional, mas não reduz o impacto para organizações globais expostas. O reaparecimento do nome LeakBase em leakbase[.]bz poucos dias após a apreensão reforça que a derrubada de um domínio deve ser acompanhada por monitoramento contínuo de migração de comunidades, reuso de marca, mudanças de hospedagem e tentativa de reconstrução de reputação por administradores ou imitadores.
A superfície afetada não se limita a vítimas diretamente citadas em bases publicadas. Qualquer organização com usuários corporativos que reutilizam senha, armazenam credenciais em navegadores, acessam aplicações SaaS a partir de endpoints comprometidos ou mantêm contas sem MFA resistente a phishing pode ser impactada por dados negociados em fóruns como o LeakBase. A presença de informações financeiras também amplia o risco para fraude, engenharia social e validação de identidade em serviços que ainda usam dados estáticos como fator de confiança.
Equipes de identidade, SOC, DFIR e gestão de risco devem tratar a apreensão como oportunidade de revisão, não como encerramento do problema. O domínio principal ter sido removido significa que uma fonte de distribuição foi interrompida, mas não prova que os dados tenham deixado de circular. Bases e logs podem ter sido baixados por múltiplos membros antes da operação. Além disso, mensagens privadas, créditos internos e logs de IP preservados podem revelar compradores recorrentes, o que pode produzir novas notificações ou investigações no futuro.
- Contas corporativas com senhas reutilizadas entre serviços pessoais, SaaS e VPNs ficam mais expostas a tomada de conta baseada em credenciais já vazadas.
- Ambientes que permitem login apenas com senha têm risco maior quando credenciais aparecem em bases ou logs de infostealers.
- Aplicações financeiras, painéis administrativos, webmail, repositórios de código e portais de suporte devem ser priorizados em revisões de acesso.
- Credenciais armazenadas em navegadores de endpoints infectados por infostealers podem incluir tokens, cookies e dados de sessão além de senhas.
- O domínio leakbase[.]bz deve ser tratado como indicador defangado de possível reaparecimento ou imitação da marca, sem acesso direto ao endereço.
A investigação defensiva deve partir de sinais de abuso de identidade. O primeiro eixo é autenticação: tentativas de login com credenciais válidas a partir de ASN incomum, geolocalização inesperada, dispositivos nunca vistos, mudanças abruptas de agente de usuário e falhas repetidas seguidas de sucesso. O segundo eixo é pós-login: criação de regras de encaminhamento em e-mail, registro de novos fatores MFA, geração de tokens de API, alteração de métodos de recuperação, acesso a cofres de senha, download anormal de dados e consultas administrativas fora do padrão do usuário.
Em endpoints, a telemetria deve procurar histórico compatível com infostealers quando houver contas expostas. Isso inclui execução de binários desconhecidos no perfil do usuário, coleta de dados de navegadores, acesso anormal a diretórios de credenciais, conexões para infraestrutura não reconhecida e compactação de artefatos antes de tráfego de saída. Não é necessário reproduzir cadeias de infecção para agir defensivamente; o objetivo é identificar máquinas que possam ter originado logs vendidos no mercado e invalidar credenciais que tenham sido coletadas.
Em programas de inteligência de ameaças, a prioridade é correlacionar nomes de domínio corporativo, endereços de e-mail e padrões de usuário contra fontes de exposição confiáveis, sem baixar ou redistribuir bases roubadas. Quando um fornecedor de inteligência reportar ocorrência ligada ao LeakBase ou a logs de stealer, a organização deve validar data, tipo de artefato, serviço afetado e evidência mínima suficiente para acionar resposta. A caça também deve observar menções a aliases administrativos, reuso de marca e migração de comunidade para novas hospedagens.
- Autenticações bem-sucedidas após falhas de senha vindas de redes, países ou dispositivos sem histórico para o usuário.
- Registro inesperado de novo fator MFA, token de API, chave de acesso, aplicativo OAuth ou regra de encaminhamento de e-mail.
- Acesso a painéis sensíveis logo após login de origem incomum, especialmente repositórios, VPN, SSO, webmail e serviços financeiros.
- Sinais de coleta local de credenciais em navegadores, perfis de usuário e armazenamentos de sessão em endpoints investigados.
- Alertas de inteligência sobre e-mails corporativos, domínios da empresa ou credenciais associadas a logs de infostealers e fóruns de vazamento.
A resposta deve começar por inventário de identidade. Contas citadas em fontes de exposição, reutilizadas em incidentes anteriores ou pertencentes a funções privilegiadas devem receber reset de senha, revogação de sessões e revisão de fatores MFA. Para contas administrativas, a ação deve incluir invalidação de tokens, chaves de API e sessões persistentes, porque logs de infostealers podem conter material suficiente para contornar uma troca simples de senha quando cookies ou tokens continuam válidos.
A mitigação técnica deve combinar endurecimento preventivo e validação pós-incidente. MFA deve ser obrigatório para serviços expostos e, quando possível, preferir métodos resistentes a phishing. Políticas de acesso condicional devem bloquear ou desafiar logins de risco, dispositivos não gerenciados e localizações incompatíveis com o perfil do usuário. Regras de detecção devem diferenciar falha de senha comum de tentativa com credencial válida, porque credenciais compradas em fóruns costumam produzir poucos erros antes do acesso bem-sucedido.
Equipes de segurança também devem revisar processos de resposta a credenciais vazadas. O fluxo precisa definir quem valida a exposição, como acionar o reset, quais logs preservar, quando abrir investigação em endpoint e como comunicar usuários sem expor detalhes sensíveis. A derrubada do LeakBase reduz uma fonte de comércio, mas não substitui rotação de segredos, caça em identidade e contenção de endpoints que possam ter originado os logs. O reaparecimento em outro domínio exige monitoramento de inteligência, mas a defesa não deve depender de acompanhar manualmente fóruns ilícitos.
- Resetar senhas e revogar sessões de contas identificadas em exposições, priorizando administradores, finanças, suporte, desenvolvimento e acesso remoto.
- Invalidar tokens, chaves de API, cookies de sessão e autorizações OAuth quando houver suspeita de coleta por infostealer.
- Aplicar MFA resistente a phishing e acesso condicional em SSO, VPN, webmail, repositórios, painéis cloud e aplicações financeiras.
- Investigar endpoints associados a contas expostas para sinais de infostealer antes de restaurar confiança nas credenciais do usuário.
- Monitorar novas menções ao nome LeakBase, ao domínio defangado leakbase[.]bz e a aliases administrativos sem acessar links ativos ou redistribuir dados roubados.
0 Comentários