Russian Market зсередини: ключові висновки дослідження загроз Rapid7

Онлайн-платформа для кіберзлочинності Russian Market перетворилася з майданчика для продажу доступу до протоколу віддаленого робочого столу (RDP) на один із найактивніших підпільних центрів збору даних журналів шкідливого ПЗ, що краде інформацію, де щодня продаються викрадені облікові дані користувачів. Кожен скомпрометований логін представляє потенційний шлюз для проникнення в корпоративні системи, дозволяючи зловмисникам запускати атаки з використанням облікових даних, наражаючи компанії, державні органи та приватних осіб на ризик компрометації облікових записів та подальших кіберзагроз. Зокрема, кілька гучних витоків були пов’язані з обліковими даними, придбаними на таких майданчиках, як Russian Market, що демонструє, як один відкритий пароль може призвести до значних втрат даних, фінансових збитків та репутаційної шкоди.

Зростаючий попит на крадіжку облікових даних підживлюється широкомасштабними кампаніями, у яких використовуються шкідливі програми для крадіжки інформації, що заражають співробітників як у офісі, так і вдома, непомітно збираючи логіни, які можливо вже циркулюють нелегально. Ця реальність значно підвищує ймовірність розкриття корпоративних облікових даних, що робить відстеження викрадених облікових даних співробітників критично важливим. Проте Russian Market — це закрита спільнота з заходами протидії злому, що створює серйозні труднощі для фахівців із кібербезпеки, які намагаються відстежити викрадені дані. Аналізуючи ключових постачальників і варіанти шкідливого ПЗ, наше дослідження надає рідкісну можливість заглянути всередину діяльності Russian Market, підкреслюючи, чому організаціям необхідно діяти негайно для посилення моніторингу облікових даних і розширення можливостей виявлення.

Короткий огляд Russian Market

• Russian Market з часом еволюціонував: його діяльність змістилася від продажу доступу по RDP до торгівлі викраденими даними кредитних карт, а останнім часом — до продажу логів інфостилерів. Це стратегічний поворот у бік більш масштабованих і потенційно прибуткових напрямів.
• Викрадені облікові дані надходять від організацій з усього світу: 26% з них — зі США, 23% — з Аргентини.
• У першій половині 2025 року на продаж було виставлено понад 180 000 логів інфостилерів, при цьому ринок в основному контролюють три ключові продавці: Nu####ez, bl####ow та Mo####yf.
• Більшість продавців за останні роки перейшли на мультистилерну модель, використовуючи різні варіанти шкідливого ПЗ у своїй діяльності. Серед них Lumma виділяється як один із найширше застосовуваних інструментів.
• Найпоширенішими типами інфостилерів, які використовують продавці на Russian Market за останні роки, були Raccoon, Vidar, Lumma, RedLine та Stealc, при цьому Rhadamanthys і Acreed набирають популярності в першій половині 2025 року.

Провідні сімейства інфостилерів на Russian Market

• Raccoon - 32%.
• Vidar - 22%.
• Lumma - 13%.
• RedLine - 12%.
• Stealc - 5%.

Raccoon

Шкідлива програма для крадіжки інформації Raccoon (також відома як Mohazo, Racealer).

Вперше Raccoon був помічений дослідниками кібербезпеки в квітні 2019 року. Глобально поширюється як Malware-as-a-Service (MaaS), він заразив сотні тисяч пристроїв на Windows у таких країнах, як США, Велика Британія, Франція, Німеччина, Італія, Індія та Австралія. Деякі експерти вважають Raccoon наступником нині неіснуючого інфостилера Azorult.

Програма, написана на C++, зазвичай поширюється через малвертайзинг або фішингові кампанії електронною поштою. Також зафіксовано поширення через ловушки на веб-сторінках, що перенаправляють користувачів на сайти з експлойт-китами (наприклад, Fallout та RIG) або пропонують завантажити нібито легітимне ПЗ.

Після встановлення інфостилер підключається до сервера C2 і завантажує специфічний DLL-файл, необхідний для процесу ексфільтрації даних. Потім Raccoon починає збирати конфіденційну інформацію, включаючи: дані про систему, облікові дані користувачів, інформацію з веб-браузерів (кукі, автозаповнення, історію, дані кредитних карт). Додатково програма може робити скріншоти, видобувати криптовалюту та слугувати дроппером для інших шкідливих файлів. Після завершення ексфільтрації Raccoon видаляє себе.

Vidar

Vidar — сімейство шкідливого ПЗ, яке головним чином функціонує як інфостилер, активне принаймні з жовтня 2018 року. Назва інфостилера походить із норвезької міфології; він базується на Arkei stealer і є одним із перших інфостилерів, здатних отримувати дані про програмне забезпечення двофакторної аутентифікації (2FA) та браузер Tor.

Vidar зазвичай поширюється через фішингові електронні листи, де жертв переконують завантажити і запустити шкідливу програму. Крім того, спостерігались випадки поширення через особисті повідомлення у соціальних мережах та через фальшиві рекламні оголошення на різних ігрових форумах. Шкідливе ПЗ використовується для крадіжки різних типів конфіденційної інформації: документів, кукі, системної інформації, облікових даних користувачів та коштів із криптовалютних гаманців. Також воно може робити скріншоти комп’ютера жертви. Викрадені дані потім ексфільтруються на відповідний сервер управління та контролю (C2).

Цей інфостилер використовувався у складі численних кампаній з малвертайзингу, які навіть супроводжувалися розгортанням програм-вимагачів, таких як GandCrab, Zeppelin та DeathRansom.

Lumma

Шкідлива програма Lumma Stealer була вперше зафіксована в серпні 2022 року та продавалася зловмисником Shamel (також відомим як Lumma) на російському підпільному форумі. Поширюючись як Malware-as-a-Service (MaaS), інфостилер використовується різними зловмисниками у численних кампаніях по всьому світу. За даними аналізу, Lumma Stealer базується на Mars Stealer та Arkei.

Програма, написана на C, переважно поширюється через шкідливі веб-сайти, які просувають нелегальне ПЗ, таке як креки та кейгени. Також зафіксовано випадки доставки через фішингові листи з шкідливими посиланнями. Після встановлення (іноді із використанням PureCrypter) шкідливе ПЗ збирає загальну інформацію про систему (наприклад, назву процесора, обсяг оперативної пам’яті, мову системи) і видобуває файли TXT, інформацію про криптовалюту, токени двофакторної аутентифікації (2FA) та дані веб-браузерів (історію, облікові дані та мережеві кукі). Викрадені дані упаковуються в ZIP-архів і передаються на сервер C2 через HTTP POST.

Для обходу систем виявлення Lumma Stealer виконує перевірки на наявність пісочниці та відлад чика, а також використовує обфускацію рядків і коду.

RedLine

Шкідлива програма RedLine Stealer була вперше виявлена у лютому—березні 2020 року в розпал пандемії COVID-19. Вона використовувалася в рамках malspam-кампанії, де жертв переконували «допомогти у боротьбі з коронавірусом», встановивши на свій комп’ютер «легітимну» програму. Цей інфостилер пропонувався на продаж на кількох російських підпільних форумах; ціна варіювалася залежно від версії (одноразова покупка або підписка) та додаткових послуг із кастомізації, пропонованих зловмисником.

RedLine, написаний на C#, постійно вдосконалює свої можливості та ефективність. Його основна мета — збір інформації з інфікованих машин жертв, таких як збережені облікові дані, номери кредитних карт, дані FTP-серверів, інформація з веб-браузерів, дані клієнтів миттєвих повідомлень та номери криптовалютних гаманців. Шкідливе ПЗ здатне обходити засоби захисту, викрадати завантажені файли, виконувати команди та надсилати всі зібрані дані на віддалений сервер управління та контролю (C2).

Stealc

Вперше Stealc був зафіксований дослідниками кібербезпеки у лютому 2023 року після його просування на російськомовному підпільному форумі користувачем під ніком “Plymouth”. Код інфостилера, написаний на C, базується на наступних інфостилерах: Vidar, Raccoon, Mars та RedLine.

Як і інші інфостилери, Stealc, ймовірно, поширюється через шкідливі інсталятори нібито «зламаного» програмного забезпечення. Після розгортання шкідливе ПЗ деобфускує рядки (переважно обфускація виконана за допомогою RC4 та Base64) та перевіряє, чи не запущене воно у віртуальному середовищі або пісочниці. При успішній перевірці Stealc динамічно завантажує функції WinAPI та встановлює з’єднання з C2‑сервером.

Далі інфостилер починає збір загальної інформації про систему та вилучення даних із веб-браузерів (кукі, автозаповнення, історія), розширень, криптовалютних гаманців та різних встановлених додатків, таких як Discord, Telegram, Outlook та Steam. Крім того, Stealc завантажує індивідуальний «файл-граббер» для крадіжки певних типів файлів, заздалегідь визначених операторами.

Зібрані дані ексфільтруються на C2‑сервер через HTTP POST, після чого всі сліди присутності шкідливого ПЗ очищуються із системи.

Для клієнтів Rapid7 MDR реалізовано кілька механізмів виявлення, що дозволяють ідентифікувати та повідомляти про типові дії зловмисників, що використовують інфостилери:

• Redline: ET MALWARE RedLine Stealer — CheckConnect Response. ET MALWARE Redline — GetArguments Request.
• Lumma: Suspicious Process - Lumma Stealer Related Process Executed. Suspicious Web Request - Lumma Stealer URL Observed. IDS (ET MALWARE) related detections.
• Vidar/Stealc: Suspicious Process - Vidar/Stealc Related Binary Executed. Suspicious Web Request - Vidar/Stealc Stealer URL Observed. IDS (ET MALWARE) related detections.
• Raccoon: IDS (ET MALWARE) related detections for C2 domains.

Rapid7 Intelligence Hub:

Клієнти, які використовують Rapid7 Intelligence Hub, отримують доступ до індикаторів компрометації (IOC), пов’язаних з Vidar та Lumma, а також до останніх оновлень і супутніх кампаній.

Крім того, для клієнтів Threat Command та MDRP реалізовано численні механізми виявлення, що дозволяють ідентифікувати та повідомляти про дії зловмисників. Зокрема, Threat Command відстежує активність у даркнеті, включаючи облікові дані компаній, зібрані за допомогою інфостилерів і виставлені на продаж на Russian Market.

Відповідні боти позначаються на основі активів клієнта — таких як домени, торгові марки, назви компаній, зовнішні IP-адреси або сторінки входу. При виявленні бота, що містить ці активи, формується сповіщення «Bot Data for Sale». Окрім інформування клієнтів про компрометацію облікових даних, ці сповіщення дозволяють швидко та безпечно отримати виявленого бота через сервіс «Ask an Analyst».

Клієнти, які використовують Rapid7 Intelligence Hub, можуть отримати доступ до індикаторів компрометації (IOC), пов’язаних з Vidar та Lumma, а також до останніх розробок і пов’язаних кампаній.

Звертайтеся за персональною консультацією щодо рішень Rapid7 до фахівців Softprom.

Softprom — офіційний дистриб’ютор Rapid7.