# Ruzki > [!warning] Operador de Pay-Per-Install — Infraestrutura Criminal de Alto Volume > Ruzki (também conhecido como les0k e zhigalsz) é um operador criminoso russo de um serviço Pay-Per-Install (PPI) ativo desde maio de 2021. O grupo é o operador por trás do [[privateloader]], o carregador de malware mais amplamente distribuído do ecossistema criminoso russo, com mais de 1 milhão de infecções documentadas em 2023 e uma taxa de crescimento que pode atingir 2 milhões em 2024. ## Visão Geral Ruzki é um ator criminoso de língua russa que opera um dos serviços Pay-Per-Install (PPI) mais prolíficos do ecossistema criminoso moderno. A SEKOIA identificou em setembro de 2022 que o [[privateloader]] — um malware downloader C++ amplamente usado para distribuição de stealers e ransomware — é propriedade exclusiva do serviço PPI de Ruzki. O operador se anuncia nos fóruns de cibercrime de língua russa como **ruzki** ou **zhigalsz**, e anteriormente como **les0k**, oferecendo instalações de malware em sistemas comprometidos ao redor do mundo. O modelo de preços é transparente dentro do ecossistema criminoso: US$ 70 por 1.000 instalações globais, US$ 300 por 1.000 instalações na Europa, e US$ 1.000 por 1.000 instalações nos Estados Unidos. Esse modelo de negócio permite que grupos sem infraestrutura própria de distribuição simplesmente paguem pela entrega de seus payloads a vítimas qualificadas. A escala das operações de Ruzki é impressionante: o [[privateloader]] infectou mais de 1 milhão de computadores em 2023, com uma média de 3.300 novas infecções por dia. Em 2024, o ritmo acelerou para cerca de 5.000 infecções diárias. No Brasil e Índia, infecções por PrivateLoader foram documentadas em grandes concentrações, tornando o serviço de Ruzki diretamente relevante para o panorama de ameaças latino-americano. A conexão entre Ruzki e PrivateLoader foi confirmada pela SEKOIA através de múltiplas evidências convergentes: sobreposição de infraestrutura C2, referências ao nome "ruzki" em amostras de botnet (ex: "ruzki9" e "3108_RUZKI"), e o fato de que ambos iniciaram operações simultaneamente em maio de 2021 — com Ruzki se referindo ao loader como "nosso loader" em seu canal Telegram. ## Modelo de Negócio PPI ```mermaid graph TB RUZKI["🎯 Ruzki PPI Service<br/>Operador: ruzki/les0k/zhigalsz"] --> PL["PrivateLoader<br/>C++ malware downloader"] PL --> |"Via SEO poisoning<br/>Software pirata"| VITIMAS["💻 Vítimas<br/>Windows — Global"] RUZKI --> |"Vende instalações"| CLIENTES["Clientes Criminosos:<br/>Operadores de stealers,<br/>ransomware, botnets"] CLIENTES --> |"Pagam por instalações"| RUZKI PL --> |"Instala payloads dos clientes"| PAYLOADS["Redline Stealer<br/>Raccoon Stealer<br/>Vidar / Amadey<br/>DanaBot / DJVU"] ``` **Preços:** US$70/1k global · US$300/1k Europa · US$1.000/1k EUA ### Distribuição via SEO Poisoning O vetor primário de distribuição do [[privateloader]] é o SEO poisoning (envenenamento de resultados de busca): sites otimizados artificialmente para aparecer no topo de buscas por software pirata, crackers e keygens. Usuários que buscam versões gratuitas de software legítimo são redirecionados para páginas que entregam arquivos compactados com senha contendo o PrivateLoader ao invés do software prometido. ## Malware Distribuído via PrivateLoader O serviço PPI de Ruzki distribui uma ampla gama de famílias de malware para seus clientes: | Malware | Tipo | Uso | |---------|------|-----| | [[s1240-redline-stealer\|RedLine Stealer]] | Infostealer | Roubo de credenciais e carteiras crypto | | [[s1148-raccoon-stealer\|Raccoon Stealer]] | Infostealer | Coleta de dados de browser e criptomoedas | | [[vidar\|Vidar]] | Infostealer | Exfiltração de dados sensíveis | | Amadey | Loader / botnet | Distribuição de payloads secundários | | DanaBot | Banking trojan | Fraude bancária | | DJVU / STOP | Ransomware | Criptografia de dados de usuários | | NetDooka | Framework malicioso | Controle remoto avançado | | GhostSocks | Proxy malicioso | Conversão de máquinas em proxies residenciais | ## Infraestrutura e Evolução ```mermaid graph TB subgraph "Infraestrutura C2 (2022-2024)" C2["Servidores C2 PrivateLoader<br/>Rússia x2, Tchéquia, Alemanha"] PP["Pastebin / VK.com<br/>Dead drop para C2"] end subgraph "Evolução Técnica" V1["2021-2022<br/>Discord CDN para payloads"] V2["2022+<br/>VK.com (VKontakte)<br/>Hospedagem de payloads"] V3["2023+<br/>VMProtect packer<br/>Evasão de análise"] end C2 --> PP V1 --> V2 V2 --> V3 ``` Ao longo de sua operação, Ruzki demonstrou capacidade de adaptação contínua: - **2022**: Migrou hospedagem de payloads do Discord CDN para VK.com após aumento do monitoramento do Discord - **2023**: Adotou o packer comercial VMProtect para dificultar análise de engenharia reversa - **2023+**: Atualizou protocolo de comunicação C2, adicionando método alternativo de comunicação ## Relevância para o Brasil e LATAM > [!latam] Brasil como Alvo Prioritário > A BitSight identificou o Brasil como um dos países com maior concentração de infecções por PrivateLoader (junto com a Índia). O modelo de negócio PPI de Ruzki incentiva seus clientes a infectar sistemas globalmente, e o Brasil — com alta penetração de internet, uso frequente de software pirata e baixo índice de atualização de sistemas — representa um mercado relevante para operadores de stealers e botnets que contratam o serviço de Ruzki. Os infostealers distribuídos via PrivateLoader — especialmente [[s1240-redline-stealer]] e [[s1148-raccoon-stealer]] — têm impacto direto em brasileiros: credenciais de acesso a sistemas bancários, plataformas corporativas e serviços online são o principal alvo. ## Detecção e Defesa ### Indicadores de Comprometimento IOCs de PrivateLoader são mantidos em tempo real pelo abuse.ch: - Amostras YARA: `https://yaraify.abuse.ch/yarahub/rule/privateloader/` - C2 servers: `https://threatfox.abuse.ch/browse/malware/win.privateloader/` - Drop URLs: `https://urlhaus.abuse.ch/browse/tag/dropped-by-PrivateLoader/` - Amostras: `https://bazaar.abuse.ch/user/12060/` ### Padrões de Rede Detectáveis - Conexões HTTP POST para IPs em portas não padrão (comportamento típico de C2 PrivateLoader) - Requisições para Pastebin.com com parâmetros anômalos (dead drop para obter IP do C2) - Downloads de arquivos compactados com senha seguidos de execução de novo executável ### Mitigações Recomendadas - **Educação de usuários**: Conscientizar sobre riscos de software pirata — principal vetor de distribuição - **DNS filtering**: Bloquear domínios de SEO poisoning relacionados a cracks e keygens via [[m1031-network-intrusion-prevention|M1031]] - **EDR**: Detectar comportamento de downloader (processo baixando e executando múltiplos binários) via [[ds-0009-process|DS0009]] - **Web proxy**: Inspecionar downloads de VK.com e serviços de hospedagem incomuns - **Monitoramento de Pastebin**: Alertar em conexões de sistemas internos para Pastebin.com ## Referências - [SEKOIA — PrivateLoader: The Loader of the Prevalent Ruzki PPI Service (2022)](https://blog.sekoia.io/privateloader-the-loader-of-the-prevalent-ruzki-ppi-service/) - [The Hacker News — Researchers Find Link Between PrivateLoader and Ruzki (2022)](https://thehackernews.com/2022/09/researchers-find-link-bw-privateloader.html) - [BitSight — Hunting PrivateLoader: The Malware Behind InstallsKey PPI Service (2024)](https://www.bitsight.com/blog/hunting-privateloader-malware-behind-installskey-ppi-service) - [Darktrace — PrivateLoader Network-Based Indicators of Compromise](https://www.darktrace.com/blog/privateloader-network-based-indicators-of-compromise) - [[privateloader]] — Malware loader customizado do serviço PPI de Ruzki - [[s1240-redline-stealer]] — Principal infostealer distribuído via PrivateLoader - [[s1148-raccoon-stealer]] — Infostealer distribuído via serviço PPI - [[vidar]] — Infostealer na carteira de payloads de Ruzki