بازار سایبری روسیه به یکی از محبوب‌ترین پلتفرم‌های خرید و فروش اطلاعات دزدیده شده توسط بدافزارهای سارق اطلاعات تبدیل شده است. این بازار که حدود شش سال است فعال بوده و از سال ۲۰۲۲ محبوبیت نسبی پیدا کرده، اخیراً به اوج جدیدی رسیده است.

بخشی از این افزایش محبوبیت به دلیل برچیده شدن بازار Genesis است که خلأ بزرگی در این حوزه ایجاد کرد. اگرچه ۸۵ درصد اطلاعات فروخته شده در بازار روسیه از منابع موجود “بازیافت” شده‌اند، اما این پلتفرم به دلیل تنوع گسترده اقلام فروش و دسترسی به لاگ‌ها با قیمت‌هایی به پایینی ۲ دلار، مخاطبان زیادی را جذب کرده است.

لاگ سارق اطلاعات معمولاً یک فایل متنی یا چندین فایل است که توسط بدافزار سارق اطلاعات ایجاد می‌شود و حاوی رمزهای عبور حساب‌ها، کوکی‌های جلسه، داده‌های کارت اعتباری، اطلاعات کیف پول ارز دیجیتال و داده‌های پروفایل سیستم دزدیده شده از دستگاه آلوده است. هر لاگ می‌تواند حاوی ده‌ها یا حتی هزاران اعتبارنامه باشد، بنابراین تعداد کل اطلاعات دزدیده شده می‌تواند صدها میلیون یا بیشتر باشد.

پس از جمع‌آوری، لاگ‌ها به سرور مهاجم آپلود می‌شوند و برای استفاده در فعالیت‌های مخرب بیشتر یا فروش در بازارهایی مانند بازار روسیه جمع‌آوری می‌شوند.

سارقان اطلاعات به ابزار بسیار محبوبی برای بازیگران تهدید تبدیل شده‌اند و بسیاری از کمپین‌ها اکنون سازمان‌ها را برای سرقت کوکی‌های جلسه و اعتبارنامه‌های شرکتی هدف قرار می‌دهند. ReliaQuest می‌گوید این موضوع در بازار روسیه منعکس شده است، به طوری که ۶۱ درصد از لاگ‌های دزدیده شده حاوی اعتبارنامه‌های SaaS از پلتفرم‌هایی مانند Google Workspace، Zoom و Salesforce هستند. همچنین ۷۷ درصد از لاگ‌ها شامل اعتبارنامه‌های SSO (ورود یکپارچه) بودند.

محققان توضیح می‌دهند که حساب‌های ابری به خطر افتاده به مهاجمان امکان دسترسی به سیستم‌های حیاتی را می‌دهد و فرصت مناسبی برای سرقت داده‌های حساس فراهم می‌کند.

افول Lumma و ظهور Acreed

ReliaQuest بیش از ۱.۶ میلیون پست در بازار روسیه را تحلیل کرد تا صعود و سقوط محبوبیت بدافزارهای سارق اطلاعات خاص را نمودار کند. تا همین اواخر، بیشتر لاگ‌ها توسط Lumma stealer دزدیده می‌شدند که ۹۲ درصد از کل لاگ‌های اعتبارنامه فروخته شده در بازار روسیه را تشکیل می‌دهد.

Lumma پس از فروپاشی Raccoon Stealer به دنبال اقدامات اجرای قانون، بر بازار تسلط یافت. با این حال، سرنوشت مشابهی ممکن است برای Lumma رقم بخورد، زیرا عملیات آن اخیراً توسط یک عملیات جهانی اجرای قانون که در آن ۲۳۰۰ دامنه توقیف شد، مختل شده است.

نتایج بلندمدت این عملیات هنوز نامشخص است و Check Point گزارش داده که توسعه‌دهندگان Lumma در حال حاضر در تلاش برای بازسازی و راه‌اندازی مجدد عملیات سایبری خود هستند.

در همین حال، ReliaQuest گزارش می‌دهد که شاهد ظهور ناگهانی یک سارق اطلاعات جدید به نام Acreed است که پس از برچیده شدن Lumma به سرعت در حال کسب محبوبیت است. صعود سریع Acreed در بازار روسیه در بیش از ۴۰۰۰ لاگ آپلود شده در هفته اول عملیاتش منعکس شده است.

Acreed از نظر اطلاعاتی که هدف قرار می‌دهد با یک سارق اطلاعات معمولی تفاوتی ندارد. این اطلاعات شامل داده‌های ذخیره شده در Chrome، Firefox و مشتقات مختلف آنها از جمله رمزهای عبور، کوکی‌ها، کیف پول‌های ارز دیجیتال و جزئیات کارت اعتباری است.

سارقان اطلاعات از طریق ایمیل‌های فیشینگ، حملات “ClickFix”، تبلیغات مخرب برای نرم‌افزارهای پریمیوم و ویدیوهای YouTube یا TikTok کاربران را آلوده می‌کنند. بنابراین، هوشیاری و رعایت شیوه‌های خوب دانلود نرم‌افزار برای اجتناب از این خطر گسترده توصیه می‌شود.