پلتفرم Russian Market به عنوان مرکز اصلی فروش اطلاعات احراز هویت سرقت‌شده مطرح شد.

بازار سیاه «Russian Market» به یکی از پلتفرم‌های اصلی خرید و فروش اطلاعات هویتی سرقت‌شده تبدیل شده است.

بازار جرایم سایبری «Russian Market» به‌عنوان یکی از محبوب‌ترین پلتفرم‌ها برای خرید و فروش اطلاعات هویتی سرقت‌شده توسط بدافزارهای سرقت اطلاعات (Information Stealer Malware) شناخته شده است.

با اینکه این بازار حدود شش سال فعالیت داشته و تا سال ۲۰۲۲ محبوبیت نسبی پیدا کرده بود، اما طبق گزارش شرکت امنیتی ReliaQuest، در ماه‌های اخیر شاهد رشد قابل‌توجهی در میزان استفاده از این پلتفرم بوده‌ایم. بخشی از این افزایش به‌دلیل تعطیلی «Genesis Market» است که خلأ بزرگی را در این حوزه ایجاد کرد.

هرچند بخش عمده‌ای (حدود ۸۵٪) از اطلاعات به فروش رسیده در Russian Market از منابع موجود و بازیافتی هستند، اما تنوع گسترده در آیتم‌های فروشی و دسترسی به لاگ‌ها با قیمت‌هایی تا ۲ دلار، موجب جذب گسترده مخاطبان مجرمان سایبری به این بازار شده است.

لاگ‌های بدافزارهای سرقت اطلاعات معمولاً شامل یک یا چند فایل متنی هستند که اطلاعاتی نظیر گذرواژه‌های حساب‌ها، کوکی‌های نشست، داده‌های کارت اعتباری، کیف پول‌های رمزارز و اطلاعات شناسایی سیستم را از دستگاه آلوده استخراج می‌کنند.

هر لاگ می‌تواند ده‌ها یا حتی هزاران اطلاعات هویتی را شامل شود، بنابراین مجموع اطلاعات سرقت‌شده ممکن است به صدها میلیون مورد برسد. پس از جمع‌آوری، این لاگ‌ها روی سرور مهاجم آپلود شده و سپس برای استفاده در حملات بعدی یا فروش در بازارهایی مانند Russian Market آماده می‌شوند.

بدافزارهای سرقت اطلاعات به ابزاری بسیار محبوب در میان تهدیدگران سایبری تبدیل شده‌اند، به‌طوری‌که بسیاری از کمپین‌های اخیر، سازمان‌ها را هدف قرار داده‌اند تا کوکی‌های نشست و اطلاعات هویتی سازمانی را به سرقت ببرند.

ReliaQuest اعلام می‌کند که این روند در Russian Market نیز قابل مشاهده است؛ به‌طوری‌که ۶۱٪ از لاگ‌های سرقت‌شده حاوی اطلاعات کاربری SaaS از پلتفرم‌هایی مانند Google Workspace، Zoom و Salesforce هستند. همچنین، ۷۷٪ از این لاگ‌ها شامل اطلاعات ورود SSO (Single Sign-On) بوده‌اند.

پژوهشگران در این خصوص هشدار می‌دهند:
«حساب‌های ابری آسیب‌دیده به مهاجمان دسترسی به سیستم‌های حیاتی را می‌دهند و فرصت مناسبی برای سرقت داده‌های حساس فراهم می‌کنند.»

افت Lumma و صعود Acreed

ReliaQuest با تحلیل بیش از ۱.۶ میلیون پست منتشرشده در Russian Market، تغییرات روند محبوبیت بدافزارهای سرقت اطلاعات را بررسی کرده است.

تا مدت اخیر، بیشتر لاگ‌های به فروش‌رفته از طریق بدافزار Lumma Stealer به دست آمده بودند؛ به‌طوری‌که ۹۲٪ از کل لاگ‌های فروخته‌شده در این بازار متعلق به Lumma بوده‌اند.

Lumma پس از تعطیلی Raccoon Stealer در پی عملیات قضایی، بازار را تحت سلطه خود درآورد. با این حال، به‌نظر می‌رسد سرنوشت مشابهی برای Lumma در حال وقوع است، چراکه در عملیات جهانی نیروهای امنیتی، ۲٬۳۰۰ دامنه مرتبط با آن توقیف شد.

گرچه نتایج بلندمدت این عملیات هنوز مشخص نیست، اما گزارش‌ها از Check Point نشان می‌دهد توسعه‌دهندگان Lumma در حال تلاش برای بازسازی و راه‌اندازی مجدد فعالیت‌های سایبری خود هستند.

در این میان، ReliaQuest گزارش می‌دهد که بدافزار جدیدی به نام Acreed به‌سرعت در حال رشد و جایگزینی Lumma در Russian Market است.

افزایش سریع محبوبیت Acreed در Russian Market در قالب بیش از ۴٬۰۰۰ لاگ آپلودشده در نخستین هفته فعالیتش مشهود است (بر اساس گزارش Webz).

از نظر نوع اطلاعات هدف، Acreed تفاوت چندانی با سایر info-stealerها ندارد و داده‌هایی همچون اطلاعات ذخیره‌شده در مرورگرهای Chrome و Firefox (و مرورگرهای مشتق‌شده از آن‌ها) شامل رمز عبور، کوکی، کیف پول رمزارز و اطلاعات کارت اعتباری را هدف قرار می‌دهد.

روش‌های آلوده‌سازی کاربران نیز شامل ایمیل‌های فیشینگ، حملات «ClickFix»، تبلیغات مخرب برای نرم‌افزارهای پولی، و ویدیوهای منتشرشده در پلتفرم‌هایی مانند YouTube و TikTok است. از این رو، رعایت اصول ایمنی در دریافت و نصب نرم‌افزارها اکیداً توصیه می‌شود.