پلتفرم Russian Market به عنوان مرکز اصلی فروش اطلاعات احراز هویت سرقتشده مطرح شد.
بازار سیاه «Russian Market» به یکی از پلتفرمهای اصلی خرید و فروش اطلاعات هویتی سرقتشده تبدیل شده است.
بازار جرایم سایبری «Russian Market» بهعنوان یکی از محبوبترین پلتفرمها برای خرید و فروش اطلاعات هویتی سرقتشده توسط بدافزارهای سرقت اطلاعات (Information Stealer Malware) شناخته شده است.
با اینکه این بازار حدود شش سال فعالیت داشته و تا سال ۲۰۲۲ محبوبیت نسبی پیدا کرده بود، اما طبق گزارش شرکت امنیتی ReliaQuest، در ماههای اخیر شاهد رشد قابلتوجهی در میزان استفاده از این پلتفرم بودهایم. بخشی از این افزایش بهدلیل تعطیلی «Genesis Market» است که خلأ بزرگی را در این حوزه ایجاد کرد.
هرچند بخش عمدهای (حدود ۸۵٪) از اطلاعات به فروش رسیده در Russian Market از منابع موجود و بازیافتی هستند، اما تنوع گسترده در آیتمهای فروشی و دسترسی به لاگها با قیمتهایی تا ۲ دلار، موجب جذب گسترده مخاطبان مجرمان سایبری به این بازار شده است.
لاگهای بدافزارهای سرقت اطلاعات معمولاً شامل یک یا چند فایل متنی هستند که اطلاعاتی نظیر گذرواژههای حسابها، کوکیهای نشست، دادههای کارت اعتباری، کیف پولهای رمزارز و اطلاعات شناسایی سیستم را از دستگاه آلوده استخراج میکنند.
هر لاگ میتواند دهها یا حتی هزاران اطلاعات هویتی را شامل شود، بنابراین مجموع اطلاعات سرقتشده ممکن است به صدها میلیون مورد برسد. پس از جمعآوری، این لاگها روی سرور مهاجم آپلود شده و سپس برای استفاده در حملات بعدی یا فروش در بازارهایی مانند Russian Market آماده میشوند.
بدافزارهای سرقت اطلاعات به ابزاری بسیار محبوب در میان تهدیدگران سایبری تبدیل شدهاند، بهطوریکه بسیاری از کمپینهای اخیر، سازمانها را هدف قرار دادهاند تا کوکیهای نشست و اطلاعات هویتی سازمانی را به سرقت ببرند.
ReliaQuest اعلام میکند که این روند در Russian Market نیز قابل مشاهده است؛ بهطوریکه ۶۱٪ از لاگهای سرقتشده حاوی اطلاعات کاربری SaaS از پلتفرمهایی مانند Google Workspace، Zoom و Salesforce هستند. همچنین، ۷۷٪ از این لاگها شامل اطلاعات ورود SSO (Single Sign-On) بودهاند.
پژوهشگران در این خصوص هشدار میدهند:
«حسابهای ابری آسیبدیده به مهاجمان دسترسی به سیستمهای حیاتی را میدهند و فرصت مناسبی برای سرقت دادههای حساس فراهم میکنند.»
افت Lumma و صعود Acreed
ReliaQuest با تحلیل بیش از ۱.۶ میلیون پست منتشرشده در Russian Market، تغییرات روند محبوبیت بدافزارهای سرقت اطلاعات را بررسی کرده است.
تا مدت اخیر، بیشتر لاگهای به فروشرفته از طریق بدافزار Lumma Stealer به دست آمده بودند؛ بهطوریکه ۹۲٪ از کل لاگهای فروختهشده در این بازار متعلق به Lumma بودهاند.
Lumma پس از تعطیلی Raccoon Stealer در پی عملیات قضایی، بازار را تحت سلطه خود درآورد. با این حال، بهنظر میرسد سرنوشت مشابهی برای Lumma در حال وقوع است، چراکه در عملیات جهانی نیروهای امنیتی، ۲٬۳۰۰ دامنه مرتبط با آن توقیف شد.
گرچه نتایج بلندمدت این عملیات هنوز مشخص نیست، اما گزارشها از Check Point نشان میدهد توسعهدهندگان Lumma در حال تلاش برای بازسازی و راهاندازی مجدد فعالیتهای سایبری خود هستند.
در این میان، ReliaQuest گزارش میدهد که بدافزار جدیدی به نام Acreed بهسرعت در حال رشد و جایگزینی Lumma در Russian Market است.
افزایش سریع محبوبیت Acreed در Russian Market در قالب بیش از ۴٬۰۰۰ لاگ آپلودشده در نخستین هفته فعالیتش مشهود است (بر اساس گزارش Webz).
از نظر نوع اطلاعات هدف، Acreed تفاوت چندانی با سایر info-stealerها ندارد و دادههایی همچون اطلاعات ذخیرهشده در مرورگرهای Chrome و Firefox (و مرورگرهای مشتقشده از آنها) شامل رمز عبور، کوکی، کیف پول رمزارز و اطلاعات کارت اعتباری را هدف قرار میدهد.
روشهای آلودهسازی کاربران نیز شامل ایمیلهای فیشینگ، حملات «ClickFix»، تبلیغات مخرب برای نرمافزارهای پولی، و ویدیوهای منتشرشده در پلتفرمهایی مانند YouTube و TikTok است. از این رو، رعایت اصول ایمنی در دریافت و نصب نرمافزارها اکیداً توصیه میشود.