Accessible, bon marché, et bien fourni. Voilà comment Russian Market est devenu LE supermarché préféré des cybercriminels en quête d’identifiants volés. Alimentée en continu par des infostealers comme Lumma, la plateforme opaque concentre aujourd’hui une grande partie de l’économie souterraine liée au trafic de données.
- Russian Market, alimenté par des infostealers, est devenu un supermarché prisé pour les identifiants volés depuis 2019.
- La plateforme propose des millions de logs à bas prix, attirant une clientèle massive sans contrôle strict.
- Les données vendues incluent des accès à des services professionnels, rendant les entreprises vulnérables aux cyberattaques.
Il ne paie pas de mine, mais son impact se mesure en centaines de millions de comptes compromis. Le site Russian Market n’est pas vraiment nouveau dans le milieu des marketplaces véreuses – il existe depuis 2019 – mais sa notoriété a explosé depuis le démantèlement de Genesis Market, en 2023. Noms d’utilisateurs, mots de passe, cartes bancaires, portefeuilles crypto ou identifiants professionnels, tout y passe. Et tout se vend, souvent pour quelques dollars à peine.
Une nouvelle référence du marché noir qui ne désemplit pas
C’est ce que confirme le dernier rapport de ReliaQuest, qui documente la place centrale qu’occupe désormais Russian Market dans le trafic de données volées. En quelques mois, la plateforme est devenue the place to be pour écouler les butins collectés par les infostealers, ces logiciels malveillants conçus pour siphonner les informations sensibles sur les machines infectées.
Derrière ce nom un peu fade, on trouve un service structuré, où pullulent des fichiers compressés (logs) contenant des ensembles d’identifiants, de configurations système, de listes de logiciels installés ou encore de sessions actives. Selon ReliaQuest, le site proposait déjà plus de cinq millions de logs en 2023, soit potentiellement des centaines de millions d’identifiants compromis. La majorité des données en vente sont a priori recyclées à partir de campagnes antérieures, mais le volume, les prix cassés (parfois 2 dollars le log) et l’absence quasi totale de contrôle à l’entrée (une simple adresse mail fait l’affaire pour s’inscrire et accéder au catalogue) suffisent à attirer une clientèle massive.
Mais surtout, la plateforme tire sa force de la diversité et de l’efficacité des malwares qui l’alimentent. En 2024, Lumma représentait à lui seul plus de 90 % des alertes d’identifiants relevées sur le site. Depuis son démantèlement en mai dernier, il a été remplacé par Acreed, auquel les équipes de Webz ont attribué plus de 4 000 logs mis en vente rien que la première semaine de sa diffusion.
Plus modestement, d’autres stealers continuent de fournir leur lot quotidien de logs à la plateforme, à l’instar de RedLine, Vidar, RisePro ou Raccoon, encore présents dans les statistiques, mais clairement en déclin dans la mesure où leurs activités dépendent désormais de campagnes ponctuelles ou d’infrastructures encore debout.
Des accès qui valent bien plus que quelques mots de passe
Si Russian Market reste autant fréquenté, c’est parce que les données qu’on y trouve permettent d’accéder directement à des comptes encore actifs, souvent professionnels, et parfois exploitables sans mot de passe.
Sur les 1,6 million d’annonces épluchées par ReliaQuest, 61 % des logs contenaient des accès à des services SaaS (Google Workspace, Zoom, Salesforce…) et 77 % incluaient des accès SSO, généralement réutilisables sur plusieurs services. Des données critiques puisqu’elles concernent majoritairement des environnements et des comptes utilisés pour se connecter à des outils de travail, des CRM, des plateformes de messagerie ou des services cloud internes.
Sans grandes surprises, certaines entreprises se retrouvent plus exposées que d’autres. Les services scientifiques, techniques et professionnels concentrent à eux seuls près de 30 % des alertes recensées, devant le secteur de l’information (28 %), la finance et les assurances (9 %) ou encore l’éducation (3 %). Une répartition qui reflète surtout la fréquence des connexions web, l’usage massif des outils SaaS et, dans certains cas, le recours à des appareils personnels en environnement pro, plus difficiles à contrôler et à sécuriser.
Mais le pire reste peut-être à venir. Les analystes de ReliaQuest estiment que les infostealers vont plus en plus cibler les gestionnaires de mots de passe, toujours mieux intégrés aux usages professionnels. Soyez-en sûr, ce qui manque encore finit toujours par arriver.
Sources : ReliaQuest, Webz, BleepingComputer
