Thị trường tội phạm mạng trực tuyến Russian Market đã phát triển từ việc bán quyền truy cập Remote Desktop Protocol (RDP). Hiện tại, nó là một trong những trung tâm ngầm hoạt động mạnh mẽ nhất cho các nhật ký rò rỉ dữ liệu từ mã độc đánh cắp thông tin (infostealer malware).

Thông tin đăng nhập của người dùng bị đánh cắp được giao dịch hàng ngày. Mỗi thông tin đăng nhập bị xâm phạm đều tiềm ẩn nguy cơ mở cánh cửa vào các hệ thống doanh nghiệp.

Sự Tiến Hóa của Russian Market và Nguy Cơ Rò Rỉ Dữ Liệu

Các tác nhân đe dọa thường xuyên mua thông tin đăng nhập để thực hiện các cuộc tấn công dựa trên thông tin xác thực.

Điều này đẩy các doanh nghiệp, chính phủ và cá nhân vào nguy cơ bị chiếm đoạt tài khoản và các cuộc tấn công mạng tiếp theo.

Một số vụ vi phạm dữ liệu nghiêm trọng đã được truy ngược về thông tin đăng nhập mua trên các thị trường như Russian Market.

Điển hình, một mật khẩu bị lộ duy nhất có thể dẫn đến mất mát dữ liệu đáng kể, thiệt hại tài chính và tổn hại danh tiếng.

Để biết thêm chi tiết, hãy xem phân tích của Rapid7 về hoạt động của thị trường này: Rapid7 – Inside Russian Market.

Từ Bán Quyền Truy Cập RDP đến Dữ Liệu Đánh Cắp Góp Phần Vào Xâm Nhập Mạng

Khi mới thành lập vào đầu năm 2020, Russian Market chuyên bán quyền truy cập RDP và thông tin đăng nhập vào các máy tính bị xâm phạm.

Các tác nhân đe dọa đã khai thác quyền truy cập này để triển khai ransomware, thực hiện gián điệp mạng và xâm nhập sâu hơn vào các mạng mục tiêu.

Từ năm 2020 đến tháng 1 năm 2024, khi việc bán RDP bị ngừng, thị trường này đã thương mại hóa quyền truy cập vào hàng nghìn máy chủ và máy trạm.

Năm 2021, các nhà điều hành chuyển trọng tâm sang dữ liệu thẻ tín dụng bị đánh cắp trước khi ra mắt dòng sản phẩm “Bots” vào cuối năm đó.

Phân Tích Các Nhật Ký Rò Rỉ Dữ Liệu (Infostealer Logs)

Các “bot” này là nhật ký dữ liệu được lấy ra từ các máy bị xâm phạm, thường thông qua mã độc đánh cắp thông tin (infostealer malware).

Chúng bao gồm cookie, thông tin đăng nhập, dữ liệu tự động điền và mã thông báo phiên (session tokens) đã được thu thập.

Đến nửa đầu năm 2025, hơn 180.000 nhật ký rò rỉ dữ liệu (infostealer logs) đã được rao bán.

Ba nhà cung cấp chính—Nu####ez, bl####ow và Mo####yf—đã thống trị thị trường, chiếm gần 70% tổng số danh sách bot.

Các Biến Thể Mã Độc Đánh Cắp Thông Tin Thường Dùng

Người bán sử dụng phương pháp đa stealer, tận dụng các biến thể mã độc như:

• Raccoon
• Vidar
• Lumma
• RedLine
• Stealc

Gần đây hơn, Rhadamanthys và Acreed đã giành được sức hút sau khi cơ quan thực thi pháp luật triệt phá cơ sở hạ tầng của Lumma Stealer.

Thông tin chi tiết về Lumma Stealer có thể tìm thấy trên GitHub: Lumma Stealer Malware GitHub.

Cấu Trúc và Giá Cả của Nhật Ký Rò Rỉ Dữ Liệu

Trong phần “Logs”, người mua có thể lọc danh sách theo khu vực địa lý, hệ điều hành, loại infostealer và nhà cung cấp.

Một bot điển hình chứa thông tin đăng nhập cho nhiều miền; đây là dạng rò rỉ dữ liệu nhạy cảm có giá trị cao.

Kích thước của nó—dao động từ 0.05 đến 0.3 megabyte—tương quan với số lượng thông tin đăng nhập được thu thập.

Các bot chủ yếu nhắm mục tiêu người dùng ở Hoa Kỳ (26%), Argentina (23%) và Brazil.

Trong nửa đầu năm 2025, kích thước bot trung bình là 0.14 megabyte và giá trung bình là 10 USD mỗi bot.

Giá lịch sử dao động từ 1 USD đến 100 USD tùy thuộc vào vị trí địa lý, chất lượng phiên và tính hợp lệ của thông tin đăng nhập.

Ví Dụ Lọc Dữ Liệu Doanh Nghiệp

Người mua có thể sử dụng các truy vấn kiểu SQL để định vị thông tin đăng nhập của doanh nghiệp:

SELECT * FROM logs WHERE domain LIKE '%corp.com%' AND category = 'webmail'

Mỗi thông tin đăng nhập bị xâm phạm có thể đại diện cho quyền truy cập vào các cổng webmail, dịch vụ đám mây hoặc kết nối VPN.

Những thông tin đăng nhập bị đánh cắp này cho phép các tác nhân đe dọa vượt qua các biện pháp phòng thủ chu vi và triển khai các cuộc tấn công lừa đảo qua email hoặc ransomware trực tiếp.

Ví dụ về ransomware phổ biến là Qilin ransomware, tham khảo thêm tại: Qilin Ransomware.

Các Nhà Cung Cấp Chủ Chốt và Mối Đe Dọa Mạng

Hệ sinh thái infostealer trên Russian Market được neo bởi một số lượng nhỏ các nhà cung cấp năng suất cao:

• Nu####ez: Hoạt động từ tháng 1 năm 2024, đạt trạng thái “Diamond” với xếp hạng 4.41. Sử dụng Lumma, Rhadamanthys và Acreed trong năm 2025.
• Bl####ow: Dựa vào Lumma một cách độc quyền, duy trì xếp hạng 4.78 đến tháng 10 năm 2024.
• Mo####yf: Ban đầu là người bán thẻ tín dụng, sau đó chuyển sang bot và đạt xếp hạng 4.50. Tận dụng Lumma sau khi sử dụng Stealc và Vidar vào năm 2024.

Các nhà cung cấp mới hơn như sm####ez và co####er cũng nhanh chóng nổi lên với các chiến lược đa stealer tương tự.

Mã độc đánh cắp thông tin đang thúc đẩy một nền kinh tế ngầm phát triển mạnh mẽ bằng cách cung cấp nguyên liệu thô cho các vụ xâm nhập mạng dựa trên thông tin xác thực, xuất phát từ các vụ rò rỉ dữ liệu.

Không giống như các diễn đàn như BreachForums, vốn đã bị triệt phá (xem thêm tại: Authorities Dismantle BreachForums), Russian Market đã duy trì hoạt động liên tục, cho thấy khả năng phục hồi và thích ứng của nó.

Giải Pháp Bảo Mật Mạng Trước Nguy Cơ Rò Rỉ Dữ Liệu

Các tổ chức phải tăng cường phòng thủ bằng cách thực thi xác thực đa yếu tố (MFA) để nâng cao bảo mật mạng.

Đồng thời, cần triển khai giám sát thông tin xác thực liên tục và tích hợp các nguồn cấp dữ liệu tình báo mối đe dọa (threat intelligence feeds) để phát hiện hoạt động đăng nhập bất thường.

Việc lập hồ sơ các nhà cung cấp chính và các biến thể infostealer cung cấp một cái nhìn hiếm hoi về hoạt động của Russian Market.

Điều này nhấn mạnh sự khẩn cấp để các doanh nghiệp hành động ngay bây giờ nhằm ngăn chặn việc lộ thông tin đăng nhập của nhân viên và giảm thiểu rủi ro từ các cuộc tấn công tiếp theo đầy tàn khốc do rò rỉ dữ liệu.