Архив вашей жизни весит 0,14 МБ и стоит 10 долларов. Russian Market превратился в магазин украденных личностей

Площадка Russian Market уже давно перестала быть просто одним из форумов даркнета — теперь это полноценный узел сбыта цифровых идентификаторов, собираемых инфостилерами по всему миру. За пять лет существования рынок прошёл несколько стадий: от торговли RDP-доступом и скомпрометированными кредитками до создания каталога логов, где каждый лот представляет собой архив с куки, токенами, сохранёнными паролями и автозаполнением из браузеров. Внутри этих архивов может скрываться любой доступ: к почте, облачным сервисам, админпанелям, платёжным кабинетам. И каждое такое «досье» — это потенциальная точка входа в корпоративную инфраструктуру, начало фишинговой цепочки или способ обойти двухфакторную защиту.

На этом фоне становится очевидным, насколько критичной стала проблема мониторинга скомпрометированных учётных записей. Ведь сотни таких логов выставляются на продажу каждый день, а пользователи даже не подозревают, что их домашние устройства или рабочие ноутбуки уже стали источником утечки. По данным Rapid7, основной объём данных в Russian Market за первую половину 2025 года поступал из США (26%) и Аргентины (23%), хотя заражённые боты фиксируются практически в каждой стране, от Бразилии до Австралии. Всё это говорит о системной масштабности заражений и широкой географии развёртывания инфостилеров.

Russian Market устроен как централизованный магазин с удобным каталогом, а не как хаотичный форум. Здесь доступны фильтры по стране, операционной системе, типу вредоноса и имени поставщика. Есть и точечный поиск по доменам или email-адресам — это позволяет находить логи с доступами, связанными с конкретными компаниями. Такая структура превращает платформу в полноценный маркетплейс для покупки целевых «ботов» — логов, собранных с заражённых устройств.

В первой половине 2025 года на площадке ежемесячно появлялось около 30 тысяч новых лотов. Средний архив весил около 0,14 мегабайта — внутри могли быть десятки и сотни логинов, включая доступы к облачным сервисам, системам корпоративного управления и финансовым платформам. Средняя цена одного лога держалась на уровне 10 долларов и не зависела от продавца — конкуренция здесь шла не по цене, а по доверию покупателей.

Большую часть контента формируют всего несколько вендоров. По данным Rapid7, за годы работы площадки три аккаунта — Nu####ez, Mo####yf и de####nt — контролировали почти 70% всех размещённых ботов. В 2025 году ситуация изменилась: de####nt исчез, а на его место пришли bl####ow, sm####ez и co####er. Лидирующую позицию сохранил Nu####ez, занимавший 38% рынка, за ним следовали bl####ow (24%) и Mo####yf (19%).

Все продавцы ранжируются по внутренней системе рейтингов. Учитываются объёмы продаж и отзывы клиентов. Итоговый балл формируется по пятибалльной шкале, а продавцу присваивается статус: Platinum — при балле ниже 10 000, Diamond — если выше. Такая система играет сразу две роли: упрощает ориентирование для покупателей и стимулирует поставщиков наращивать активность и поддерживать качество.

Самым востребованным инструментом сбора данных в 2025 году стал Lumma Stealer — вредонос по модели MaaS, арендующийся у разработчиков за подписку. Его массово применяли почти все ведущие вендоры Russian Market. Такой подход позволяет операторам сосредоточиться на заражении устройств, не вникая в техническую сторону разработки.

Большая часть логов формируется инфостилерами — вредоносами, незаметно выкачивающими из системы всё, что может иметь ценность. Ниже немного подробностей про основные из них.

Raccoon, впервые замеченный в 2019 году, распространялся через фишинг и вредоносные сайты с взломанным софтом. После запуска подключался к C2-серверу, загружал нужную библиотеку и начинал сбор информации: от системных сведений до истории браузера. Мог также делать скриншоты и подгружать дополнительные модули. Вредонос самоудалялся после завершения сбора. После перерыва в 2022 году, связанного со смертью разработчика, активность Raccoon возобновилась с новой версией.

Vidar, базирующийся на Arkei, работает с 2018 года. Отличается способностью извлекать данные из 2FA-приложений и браузера Tor. Распространялся через фишинг, вредоносную рекламу и мессенджеры. С его помощью крадут документы, пароли, куки, криптовалюту. Использовался в атаках с GandCrab, Zeppelin и другими шифровальщиками.

Lumma Stealer появился в 2022 году и быстро завоевал рынок. Базируется на коде Mars и Arkei, распространяется через сайты с пиратским ПО и email-рассылки. Собирает информацию о системе, криптовалютах, токенах 2FA, браузерах и текстовых файлах. Использует антиотладку и проверку на виртуализацию. Несмотря на частичную ликвидацию инфраструктуры в мае 2025 года, продолжил работать спустя два месяца.

RedLine, активный с 2020 года, писал на C#. Его использовали в спам-кампаниях под видом ковид-приложений. Помимо браузерных данных, умел загружать и выполнять команды, работать с FTP и красть файлы. После конфискации части серверов в 2024 году вредонос сохранил активность.

Stealc, замеченный в 2023 году, объединяет элементы нескольких других стилеров: Vidar, Raccoon, Mars и RedLine. Распространяется как фейковый инсталлятор. Проверяет окружение, загружает WinAPI и собирает данные из браузеров, Telegram, Discord, Outlook, Steam. Умеет вытягивать файлы по шаблонам. Завершает работу с удалением следов.

В 2025 году к этому списку добавились два новых инструмента:

Rhadamanthys, впервые замеченный в 2022 году, распространяется через фальшивые сайты Zoom, AnyDesk и Notepad++. Использует WMI для сбора информации о системе и крадёт данные из браузеров, мессенджеров и почтовых клиентов. Управляется через панель и активно используется в продажах на Russian Market.

Acreed, появившийся в 2025 году, быстро стал популярным после частичной потери Lumma. Распространяется через фишинг, вредоносную рекламу, фейковые CAPTCHA и ролики на YouTube и TikTok. Собирает данные из браузеров и облачных платформ вроде Google, AWS, Microsoft 365 и Salesforce. Формирует структурированный JSON-файл, отражающий объём украденного.

Несмотря на нарастающее давление со стороны правоохранительных органов, Russian Market сохраняет устойчивость. В отличие от других площадок, которые закрывались или меняли домены, он продолжает работать без серьёзных сбоев. Причина — в архитектуре: децентрализованная структура, автоматизированная публикация, гибкая смена вредоносов и ограниченный, но стабильный пул поставщиков.

Смена поколений инфостилеров происходит регулярно: после блокировки одного инструмента на его место быстро приходит другой с аналогичным функционалом. Так поддерживается непрерывность рынка и обновление логов. Снижение доли Raccoon и рост Acreed в 2025 году лишь подтверждают эту адаптивность.

Для компаний это означает, что утечка логинов — не редкость, а фоновое явление. Любой вход на заражённой машине может оказаться в продаже. Речь идёт не только о почте, но и о доступах к CRM, облачным хранилищам, VPN и административным панелям.

Минимальной мерой становится постоянный мониторинг логов, появляющихся на теневых рынках. Сервис Threat Command от Rapid7 отслеживает появление логинов, связанных с конкретными организациями — по доменам, email-адресам, внешним IP и брендам. Если в одном из логов находится совпадение, формируется уведомление «Bot Data for Sale», и организация может запросить архив через службу аналитики, чтобы вовремя обезвредить угрозу.