$2 — и системы компании в твоих руках. Russian Market входит в игру
NewsMakerПочему лог за $2 может разрушить целую корпорацию?
На подпольной киберпреступной сцене снова сместились акценты — маркет Russian Market, торгующий логами, похищенными с помощью инфостилеров, стремительно набирает популярность и выходит на передовые позиции в даркнете. Хотя платформа существует уже около шести лет, поворотный момент в её развитии наступил в 2022 году, а по данным ReliaQuest, настоящий всплеск активности пришёлся на недавнее время — после того, как был ликвидирован один из ключевых конкурентов, Genesis Market . Освободившийся рынок быстро заполнила именно Russian Market.
Популярность площадки связана не только с ситуацией в даркнете, но и с её внутренней политикой. Примерно 85% логов, выставляемых на продажу, являются «recycled» — ранее похищенными и уже где-то использовавшимися данными, которые продаются повторно. Несмотря на это, благодаря огромному выбору и крайне низким ценам — от $2 за лог — маркет сумел привлечь огромную аудиторию. Для киберпреступников это возможность получить доступ к аккаунтам, сессионным cookie, банковским картам, криптокошелькам и профилям устройств по минимальной цене.
Инфостилер-лог представляет собой один или несколько файлов, которые формируются на заражённом компьютере после действия вредоносной программы. Эти файлы могут содержать десятки или даже тысячи строк с конфиденциальной информацией: пароли, cookie-файлы, данные кредитных карт, seed-фразы от криптокошельков, сессионные токены, сведения о браузерах и параметры системы. После сбора лог отправляется на удалённый сервер злоумышленника, а затем либо используется для последующих атак, либо выставляется на продажу на таких платформах, как Russian Market.
Современные инфостилеры используются в том числе в атаках на корпоративный сектор. Злоумышленники всё чаще нацеливаются на сотрудников компаний, чтобы похитить не только пароли, но и сессионные cookie, которые позволяют обойти двухфакторную аутентификацию и получить доступ к внутренним облачным сервисам. По статистике ReliaQuest, 61% логов на Russian Market содержат учётные данные от SaaS-платформ, включая Google Workspace, Zoom и Salesforce. Ещё 77% логов включают данные от SSO-сервисов, что делает эти сессии особенно опасными для корпоративной безопасности.
Вредоносные программы, создающие такие логи, распространяются через разнообразные каналы — от фишинговых писем до рекламных ловушек (malvertising), поддельных сайтов загрузки платного ПО и видеороликов на YouTube и TikTok. Отдельно специалисты указывают на популярную схему «ClickFix» , при которой пользователю предлагают якобы исправление ошибки или обновление, а на деле происходит заражение.
Компания ReliaQuest проанализировала более 1,6 миллиона постов на Russian Market, чтобы понять, какие именно инфостилеры формируют логовый поток. До недавнего времени рынок фактически был монополизирован Lumma Stealer , на долю которого приходилось 92% всех логов. После ликвидации Raccoon Stealer Lumma стал новым лидером в этой нише.
Однако устойчивость Lumma была нарушена в ходе масштабной операции международных правоохранительных органов, в результате которой было изъято более 2300 доменов, связанных с инфраструктурой вредоноса. По данным Check Point, разработчики Lumma сейчас пытаются восстановить свои мощности и заново выстроить каналы распространения, но результаты этой перестройки остаются неясными.
На фоне падения Lumma стремительно начал расти новый инфостилер под названием Acreed. Уже в первую неделю с момента запуска, по данным Webz, было загружено свыше 4 000 логов, полученных с его помощью. Acreed работает по классической схеме: заражает систему, собирает данные из браузеров Chrome, Firefox и их производных, включая сохранённые пароли, cookie, данные платёжных систем и криптовалютные ключи.
С технической точки зрения Acreed не предлагает ничего радикально нового, но благодаря гибкой схеме распространения и отсутствию конкуренции после падения Lumma, он быстро набрал обороты на Russian Market. С учётом дешёвизны логов и огромного количества учётных данных в каждом из них, такие инструменты представляют собой критическую угрозу как для рядовых пользователей, так и для крупных организаций.
Специалисты подчёркивают необходимость жёстких процедур кибергигиены: не переходить по подозрительным ссылкам, не скачивать программное обеспечение из непроверенных источников, следить за активностью аккаунтов, использовать двухфакторную аутентификацию и регулярно проверять устройства на наличие вредоносного ПО. Без этого даже $2 может стоить целой инфраструктуры.
На подпольной киберпреступной сцене снова сместились акценты — маркет Russian Market, торгующий логами, похищенными с помощью инфостилеров, стремительно набирает популярность и выходит на передовые позиции в даркнете. Хотя платформа существует уже около шести лет, поворотный момент в её развитии наступил в 2022 году, а по данным ReliaQuest, настоящий всплеск активности пришёлся на недавнее время — после того, как был ликвидирован один из ключевых конкурентов, Genesis Market . Освободившийся рынок быстро заполнила именно Russian Market.
Популярность площадки связана не только с ситуацией в даркнете, но и с её внутренней политикой. Примерно 85% логов, выставляемых на продажу, являются «recycled» — ранее похищенными и уже где-то использовавшимися данными, которые продаются повторно. Несмотря на это, благодаря огромному выбору и крайне низким ценам — от $2 за лог — маркет сумел привлечь огромную аудиторию. Для киберпреступников это возможность получить доступ к аккаунтам, сессионным cookie, банковским картам, криптокошелькам и профилям устройств по минимальной цене.
Инфостилер-лог представляет собой один или несколько файлов, которые формируются на заражённом компьютере после действия вредоносной программы. Эти файлы могут содержать десятки или даже тысячи строк с конфиденциальной информацией: пароли, cookie-файлы, данные кредитных карт, seed-фразы от криптокошельков, сессионные токены, сведения о браузерах и параметры системы. После сбора лог отправляется на удалённый сервер злоумышленника, а затем либо используется для последующих атак, либо выставляется на продажу на таких платформах, как Russian Market.
Современные инфостилеры используются в том числе в атаках на корпоративный сектор. Злоумышленники всё чаще нацеливаются на сотрудников компаний, чтобы похитить не только пароли, но и сессионные cookie, которые позволяют обойти двухфакторную аутентификацию и получить доступ к внутренним облачным сервисам. По статистике ReliaQuest, 61% логов на Russian Market содержат учётные данные от SaaS-платформ, включая Google Workspace, Zoom и Salesforce. Ещё 77% логов включают данные от SSO-сервисов, что делает эти сессии особенно опасными для корпоративной безопасности.
Вредоносные программы, создающие такие логи, распространяются через разнообразные каналы — от фишинговых писем до рекламных ловушек (malvertising), поддельных сайтов загрузки платного ПО и видеороликов на YouTube и TikTok. Отдельно специалисты указывают на популярную схему «ClickFix» , при которой пользователю предлагают якобы исправление ошибки или обновление, а на деле происходит заражение.
Компания ReliaQuest проанализировала более 1,6 миллиона постов на Russian Market, чтобы понять, какие именно инфостилеры формируют логовый поток. До недавнего времени рынок фактически был монополизирован Lumma Stealer , на долю которого приходилось 92% всех логов. После ликвидации Raccoon Stealer Lumma стал новым лидером в этой нише.
Однако устойчивость Lumma была нарушена в ходе масштабной операции международных правоохранительных органов, в результате которой было изъято более 2300 доменов, связанных с инфраструктурой вредоноса. По данным Check Point, разработчики Lumma сейчас пытаются восстановить свои мощности и заново выстроить каналы распространения, но результаты этой перестройки остаются неясными.
На фоне падения Lumma стремительно начал расти новый инфостилер под названием Acreed. Уже в первую неделю с момента запуска, по данным Webz, было загружено свыше 4 000 логов, полученных с его помощью. Acreed работает по классической схеме: заражает систему, собирает данные из браузеров Chrome, Firefox и их производных, включая сохранённые пароли, cookie, данные платёжных систем и криптовалютные ключи.
С технической точки зрения Acreed не предлагает ничего радикально нового, но благодаря гибкой схеме распространения и отсутствию конкуренции после падения Lumma, он быстро набрал обороты на Russian Market. С учётом дешёвизны логов и огромного количества учётных данных в каждом из них, такие инструменты представляют собой критическую угрозу как для рядовых пользователей, так и для крупных организаций.
Специалисты подчёркивают необходимость жёстких процедур кибергигиены: не переходить по подозрительным ссылкам, не скачивать программное обеспечение из непроверенных источников, следить за активностью аккаунтов, использовать двухфакторную аутентификацию и регулярно проверять устройства на наличие вредоносного ПО. Без этого даже $2 может стоить целой инфраструктуры.