Знаете ли вы, что глобальная экономика киберпреступности к 2027 году достигнет 23 триллионов долларов? Это больше ВВП большинства стран. В этом разросшемся цифровом подполье вредоносное ПО вроде инфостилеров действует с безжалостной эффективностью: постоянно адаптируется, эволюционирует и, что важно, заполняет бреши, оставленные успехами правоохранителей. Недавние атаки на Lumma и Rhadamanthys — когда-то столпов рынка инфостилеров — создали именно такую пустоту. И Vidar шагнула в неё не просто заполнить, а захватить целиком.
Взлёт нового короля
Классическая рыночная динамика, ничего нового. Уберите одного лидера — конкуренты кинутся делить пирог. Lumma и Rhadamanthys годами слыли звёздами (в кругах инфостилеров, разумеется) за умение выцарапывать учётки, куки и финансовые данные из заражённых систем. Их инфраструктура была огромной, охват — широким. А потом, как водится, силовики ударили: разобрали операции по косточкам, арестовали ключевых фигур. Это был не мелкий сбой — землетрясение для подпольной экономики.
Тут Vidar, методично наращивавшая возможности и аудиторию, учуяла шанс. Не в том дело, чтобы обставить соперников инновациями в классическом смысле, — главное, быть самой надёжной, доступной и насыщенной фишками заменой, когда старые варианты исчезают. Данные это подтверждают: после нейтрализации Lumma и Rhadamanthys телеметрия фиксирует всплеск развёртываний Vidar и трафика её командных серверов. Напоминание, что криминальная экосистема — не монолит, а бурлящий, конкурентный котёл, где хаос рождает новых хозяев.
Почему подъём Vidar важен?
Для обычного юзера разница невелика: имя инфостилера не меняет сути — взломанные аккаунты, угнанные личности, финансовые потери. Но для спецов по безопасности, аналитиков угроз и компаний, строящих защиту, ключевой вопрос — кто сейчас на коне. Vidar — не просто новая вывеска, а конкретный набор тактик, техник и процедур (TTP), под которые нужно настраивать оборону. Её фичи заточены под универсальность и простоту для криминальной клиентуры.
Это ПО мастерски собирает весь спектр чувствительных данных: куки браузеров, сохранённые пароли, криптокошельки, конфиги систем. Оно хитро обходит типовые меры защиты и заточено под быструю эксфильтрацию, сокращая время на обнаружение. Вакуум на рынке позволил Vidar укрепиться, перехватить, вероятно, и пользователей, и инфраструктуру поверженных. Это не только новые клиенты — это трофеи с поля боя.
Инфостилер заполнил брешь, оставшуюся после прошлогодних операций силовиков против Lumma и Rhadamanthys. Криминальный рынок живёт динамикой, и Vidar ловко ею воспользовалась.
Эта цитата из оригинальной отчётности идеально отражает механику. Бизнес есть бизнес, пусть и тёмный, — а природа не терпит пустоты. Подъём Vidar — не триумф гениальности, а искусство timely масштабирования. Данные по развёртываниям после Lumma/Rhadamanthys показывают резкий рост, подстёгнутый, видимо, криминальными сетями в поисках надёжной замены для своих операций по сбору данных.
Призрак неуязвимости
Особо тревожит живучесть этих семейств инфостилеров. Успехи силовиков важны и бьют сильно, но угрозу не искореняют. За ними стоят гибкие ребята: переименуются, сменят тактику, затаятся в ожидании шанса вроде этого. Молниеносный взлёт Vidar говорит о крепком операционном каркасе и армии аффилиатов, готовых разносить её пейлоад.
Речь не о разрозненных одиночках — это скоординированный рыночный сдвиг. Последствия выходят за рамки отдельных взломов: жди роста credential stuffing, угона аккаунтов и хитрых фишинговых кампаний, подпитанных разведданными от Vidar. Компаниям пора быть начеку не против общих угроз, а против конкретных TTP лидера рынка.
Моё мнение? Дело не в том, что Vidar «крутое» ПО. Это про фундаментальный изъян нашего подхода к киберпреступности: валим отдельные операции — дело нужное, но недооцениваем упорство и адаптивность подпольной экономики. Рынок не останавливается — он перестраивается. И сейчас главный канал для краденой информации — Vidar.
Что ждёт рынок инфостилеров?
Vidar продолжит править, пока не нагрянет новая зачистка силовиков или не выскочит радикальный конкурент. Разрабы, скорее всего, доработают обход защиты, расширят сбор данных и, возможно, интегрируют монетизацию вроде рансомвара или BEC-услуг, используя трофеи как трамплин. Цикл инноваций и разрушений в этом сегменте не знает пауз. Защитникам — непрерывный мониторинг, быстрый обмен разведкой и мощные EDR-системы, способные ловить и нейтрализовать фирменные повадки Vidar.
Гонка вооружений в кибербезопасности не утихает. Пока инициатива у Vidar. Понимать её доминирование — не пугать зря, а готовиться по данным. Рынок высказался, и голос его — Vidar.
🧬 Related Insights
- Read more: Sednit Reloaded: Old Code, New Tricks [Ukraine]
- Read more: ICS Patch Tuesday: 8 Giants Patch Critical Flaws
Frequently Asked Questions
Что делает инфостилер Vidar? Vidar — вредоносное ПО для кражи чувствительных данных с заражённых ПК: учётных данных, куки браузеров, информации о криптокошельках и деталей системной конфигурации.
Как Vidar стала лидером среди инфостилеров? Vidar воспользовалась вакуумом на рынке после успешных операций силовиков против доминировавших ранее Lumma и Rhadamanthys, предложив готовую и насыщенную фишками альтернативу.
Vidar — новый тип вредоносного ПО? Vidar существует и эволюционирует уже давно, но её нынешнее лидерство — результат оппортунистического взлёта после краха конкурентов, а не радикальной новизны.
