Selon GBHackers Security, le marketplace cybercriminel en ligne « Russian Market » a évolué, passant de la vente d’accès RDP à un rôle d’un des hubs les plus actifs pour les logs de malware voleurs d’informations (stealers).
Le cybermarché clandestin Russian Market s’est imposé comme l’un des plus actifs pour la vente de logs issus de malwares voleurs d’informations (infostealers). Ce site, autrefois spécialisé dans la revente d’accès RDP compromis, héberge désormais plus de 180 000 journaux exfiltrés contenant des identifiants, cookies et sessions volés sur des machines compromises à travers le monde.
De la vente d’accès RDP aux “bots” d’infostealers
Lancé début 2020, Russian Market proposait initialement des accès RDP et identifiants systèmes, utilisés par les cybercriminels pour déployer des ransomwares ou mener des opérations d’espionnage. Après l’arrêt de cette activité en janvier 2024, les opérateurs se sont tournés vers les données de cartes bancaires, puis ont lancé la gamme de produits “Bots” — des logs extraits via des infostealers comme Raccoon, Vidar, RedLine, Stealc, Lumma, et plus récemment Rhadamanthys et Acreed.
Des millions d’identifiants accessibles
Chaque “bot” vendu contient plusieurs jeux d’identifiants (webmail, cloud, VPN, etc.), souvent vendus autour de 10 $ l’unité. Les victimes les plus ciblées se trouvent aux États-Unis (26 %), en Argentine (23 %) et au Brésil. Ces identifiants permettent aux attaquants de bypasser les défenses périmétriques et de lancer des campagnes de phishing ciblé ou des intrusions déguisées en activités légitimes.
Les vendeurs dominants du marché
Trois acteurs principaux dominent Russian Market en 2025 :
| Vendeur | Part de marché | Principaux malwares utilisés |
|---|---|---|
| Nu####ez | 38 % | Lumma, Rhadamanthys, Acreed |
| bl####ow | 24 % | Lumma |
| Mo####yf | 19 % | Lumma, Vidar, Stealc |
| sm####ez | 7 % | Lumma, Vidar, Stealc |
| co####er | 4 % | Lumma, Stealc |
Ces vendeurs exploitent un modèle multi-stealer, recyclant les échantillons de malware actifs pour maximiser la valeur des données revendues.
Une menace persistante et lucrative
Malgré le démantèlement de forums comme BreachForums ou XSS, Russian Market reste opérationnel et résilient, confirmant son rôle clé dans l’économie souterraine des identifiants volés. Pour les entreprises, chaque identifiant exposé représente une porte d’entrée potentielle vers des attaques par rebond, des compromissions de comptes ou des déploiements de ransomwares.
🛡️ Mesures de défense recommandées
Les organisations doivent :
- appliquer la double authentification (MFA),
- mettre en place une surveillance continue des identifiants compromis,
- et intégrer des flux de renseignement sur les menaces (threat intelligence) pour détecter les connexions suspectes.
L’analyse des vendeurs et familles d’infostealers sur Russian Market met en lumière un écosystème cybercriminel hautement structuré, où les identifiants volés demeurent la monnaie d’échange privilégiée des attaques ciblées.
🔗 Source originale : https://gbhackers.com/russian-cybercrime-marketplace/
🖴 Archive : https://web.archive.org/web/20251014210032/https://gbhackers.com/russian-cybercrime-marketplace/