Russian Market изнутри: ключевые выводы исследования угроз Rapid7

Онлайн-площадка для киберпреступности Russian Market превратилась из места продажи доступа к протоколу удалённого рабочего стола (RDP) в один из самых активных подпольных центров сбора данных журналов вредоносных программ, крадущих информацию, где ежедневно продаются украденные учётные данные пользователей. Каждый скомпрометированный логин представляет собой потенциальный шлюз для проникновения в корпоративные системы, позволяя злоумышленникам запускать атаки с использованием учётных данных, подвергая компании, государственные органы и частных лиц риску компрометации учётных записей и последующих кибератак. В частности, несколько громких утечек были связаны с учётными данными, приобретёнными на таких площадках, как Russian Market, что демонстрирует, как один раскрытый пароль может привести к значительной потере данных, финансовому ущербу и репутационному ущербу.

Растущий спрос на кражу учётных данных подпитывается широкомасштабными кампаниями, в которых используются вредоносные программы для кражи информации, заражающие сотрудников как в офисе, так и дома, и незаметно собирающие логины, которые, возможно, уже циркулируют в нелегальном режиме. Эта реальность значительно повышает вероятность раскрытия корпоративных учётных данных, что делает отслеживание украденных учётных данных сотрудников крайне важным. Однако Russian Market — это закрытое сообщество, где применяются меры по борьбе со взломом, что создаёт серьёзные трудности для специалистов по защите от взлома, пытающихся отследить украденные данные. Анализируя ключевых поставщиков и варианты вредоносного ПО, наше исследование предоставляет редкую возможность взглянуть изнутри на деятельность российского рынка, подчёркивая, почему организациям необходимо действовать немедленно, чтобы усилить мониторинг учётных данных и расширить возможности обнаружения.

Краткий обзор Russian Market

• Russian Market со временем эволюционировал: его деятельность сместилась от продажи доступа по RDP к торговле украденными данными кредитных карт, а в последнее время — к продаже логов инфостилеров. Это стратегический поворот в сторону более масштабируемых и потенциально прибыльных направлений.
• Украденные учетные данные поступают от организаций со всего мира: 26% из них — из США, 23% — из Аргентины.
• В первой половине 2025 года на продажу было выставлено более 180 000 логов инфостилеров, при этом рынок в основном контролируют три ключевых продавца: Nu####ez, bl####ow и Mo####yf.
• Большинство продавцов за последние годы перешли к многостилерной модели, используя различные варианты вредоносных программ в своей деятельности. Среди них Lumma выделяется как один из самых широко применяемых инструментов.
• Наиболее распространёнными типами инфостилеров, используемых продавцами на Russian Market за последние годы, были Raccoon, Vidar, Lumma, RedLine и Stealc, при этом Rhadamanthys и Acreed набирают популярность в первой половине 2025 года.

Ведущие семьи инфостилеров на Russian Market

• Raccoon - 32%.
• Vidar - 22%.
• Lumma - 13%.
• RedLine - 12%.
• Stealc - 5%.

Raccoon

Вредоносная программа для кражи информации Raccoon (также известна как Mohazo, Racealer).

Впервые Raccoon был замечен исследователями кибербезопасности в апреле 2019 года. Распространяясь по всему миру в модели Malware-as-a-Service (MaaS), он заразил сотни тысяч устройств на Windows в таких странах, как США, Великобритания, Франция, Германия, Италия, Индия и Австралия. Некоторые эксперты рассматривают Raccoon как преемника ныне несуществующего инфостилера Azorult.

Программа, написанная на C++, обычно распространяется через малвертайзинг или фишинговые кампании по электронной почте. Также было зафиксировано распространение через ловушки на веб-страницах, перенаправляющих пользователей на сайты с эксплойт-китами (например, Fallout и RIG) или предлагающих загрузить якобы легитимное ПО.

После установки инфостилер подключается к серверу C2 и загружает специфический DLL-файл, необходимый для процесса эксфильтрации данных. Затем Raccoon начинает собирать конфиденциальную информацию, включая: данные о системе, учетные данные пользователей, информацию из веб-браузеров (куки, автозаполнение, историю, данные кредитных карт). Дополнительно программа может делать скриншоты, добывать криптовалюту и служить дроппером для других вредоносных файлов. По завершении эксфильтрации Raccoon удаляет себя.

Vidar

Vidar — семейство вредоносного ПО, главным образом выступающее в роли инфостилера, активное как минимум с октября 2018 года. Название инфостилера восходит к норвежской мифологии; он основан на Arkei stealer и является одним из первых инфостилеров, способных получать данные о программном обеспечении двухфакторной аутентификации (2FA) и о браузере Tor.

Vidar обычно распространяется через фишинговые электронные письма, где жертв убеждают скачать и запустить вредоносную программу. Кроме того, наблюдались случаи распространения через личные сообщения в социальных сетях и через ложные рекламные объявления на различных игровых форумах. Вредоносное ПО используется для кражи различных типов конфиденциальной информации: документов, куки, системной информации, учетных данных пользователей и средств из криптовалютных кошельков. Также оно может делать скриншоты компьютера жертвы. Похищенные данные затем эксфильтруются на соответствующий сервер управления и контроля (C2).

Этот инфостилер использовался в составе многочисленных кампаний по малвертайзингу, которые даже сопровождались развертыванием программ-вымогателей, таких как GandCrab, Zeppelin и DeathRansom.

Lumma

Вредоносная программа Lumma Stealer была впервые зафиксирована в августе 2022 года и продавалась злоумышленником Shamel (также известным как Lumma) на российском подпольном форуме. Распространяясь по модели Malware-as-a-Service (MaaS), инфостилер используется различными злоумышленниками в многочисленных кампаниях по всему миру. По данным анализа, Lumma Stealer основан на Mars Stealer и Arkei.

Программа, написанная на C, преимущественно распространяется через вредоносные веб-сайты, продвигающие нелегальное ПО, такое как крэки и кейгены. Также отмечены случаи доставки через фишинговые письма с вредоносными ссылками. После установки (иногда с использованием PureCrypter) вредоносное ПО собирает общую информацию о системе (например, название процессора, объем оперативной памяти, язык системы) и добывает файлы TXT, информацию о криптовалюте, токены двухфакторной аутентификации (2FA) и данные веб-браузеров (историю, учетные данные и сетевые куки). Похищенные данные упаковываются в ZIP-архив и передаются на сервер C2 через HTTP POST.

Для обхода систем обнаружения Lumma Stealer выполняет проверки на наличие песочницы и отладчика, а также использует обфускацию строк и кода.

RedLine

Вредоносная программа RedLine Stealer была впервые обнаружена в феврале—марте 2020 года в разгар пандемии COVID-19. Она использовалась в рамках malspam-кампании, где жертв убеждали «помочь в борьбе с коронавирусом», установив на свой компьютер «легитимное» приложение. Этот инфостилер предлагался на продаже на нескольких российских подпольных форумах; цена варьировалась в зависимости от версии (одноразовая покупка или подписка) и дополнительных услуг по кастомизации, предлагаемых злоумышленником.

RedLine, написанный на C#, постоянно совершенствует свои возможности и эффективность. Его основная цель — сбор информации с инфицированных машин жертв, таких как сохранённые учётные данные, номера кредитных карт, данные FTP-серверов, информация из веб-браузеров, данные клиентов мгновенных сообщений и номера криптовалютных кошельков. Вредоносное ПО способно обходить средства защиты, похищать загруженные файлы, выполнять команды и отправлять все собранные данные на удалённый сервер управления и контроля (C2).

Stealc

Впервые Stealc был зафиксирован исследователями кибербезопасности в феврале 2023 года после его продвижения на русскоязычном подпольном форуме пользователем под ником “Plymouth”. Код инфостилера, написанный на C, основан на следующих инфостилерах: Vidar, Raccoon, Mars и RedLine.

Как и другие инфостилеры, Stealc предположительно распространяется через вредоносные инсталляторы якобы «крякнутого» программного обеспечения. После развёртывания вредоносное ПО деобфусцирует строки (в основном обфускация выполнена с помощью RC4 и Base64) и проверяет, не запущено ли оно в виртуальной среде или песочнице. При успешной проверке Stealc динамически загружает функции WinAPI и устанавливает соединение с C2‑сервером.

Далее инфостилер начинает сбор общей информации о системе и извлечение данных из веб‑браузеров (куки, автозаполнение, история), расширений, криптовалютных кошельков и различных установленных приложений, таких как Discord, Telegram, Outlook и Steam. Кроме того, Stealc загружает индивидуальный «файл-граббер» для кражи определённых типов файлов, заранее заданных операторами.

Собранные данные эксфильтруются на C2‑сервер через HTTP POST, после чего все следы присутствия вредоносного ПО очищаются с системы.

Для клиентов Rapid7 MDR реализовано несколько механизмов обнаружения, позволяющих идентифицировать и уведомлять о типичных действиях злоумышленников, использующих инфостилеры:

• Redline: ET MALWARE RedLine Stealer — CheckConnect Response. ET MALWARE Redline — GetArguments Request.
• Lumma: Suspicious Process - Lumma Stealer Related Process Executed. Suspicious Web Request - Lumma Stealer URL Observed. IDS (ET MALWARE) related detections.
• Vidar/Stealc: Suspicious Process - Vidar/Stealc Related Binary Executed. Suspicious Web Request - Vidar/Stealc Stealer URL Observed. IDS (ET MALWARE) related detections.
• Raccoon: IDS (ET MALWARE) related detections for C2 domains.

Rapid7 Intelligence Hub:

Клиенты, использующие Rapid7 Intelligence Hub, получают доступ к индикаторам компрометации (IOC), связанным с Vidar и Lumma, а также к последним обновлениям и сопутствующим кампаниям.

Кроме того, для клиентов Threat Command и MDRP реализованы многочисленные механизмы обнаружения, позволяющие идентифицировать и уведомлять о действиях злоумышленников. В частности, Threat Command отслеживает активность в даркнете, включая учетные данные компаний, собранные с помощью инфостилеров и выставленные на продажу на Russian Market.

Соответствующие боты помечаются на основе активов клиента — таких как домены, торговые марки, названия компаний, внешние IP-адреса или страницы входа. При обнаружении бота, содержащего эти активы, формируется уведомление «Bot Data for Sale». Помимо информирования клиентов о компрометации учетных данных, эти уведомления позволяют быстро и безопасно получить обнаруженный бот через сервис «Ask an Analyst».

Клиенты, использующие Rapid7 Intelligence Hub, могут получить доступ к индикаторам компрометации (IOC), связанным с Vidar и Lumma, а также к последним разработкам и связанным с ними кампаниям.

Обращайтесь за персональной консультацией по решениям Rapid7 к специалистам Softprom.

Softprom — официальный дистрибьютор Rapid7.