Wat zijn Infostealers en waarom zou mijn bedrijf zich zorgen moeten maken?

Door Phil Muncaster • 6 augustus 2024

In juni dit jaar werd een massale afpersingscampagne tegen klanten van datacloudspecialist Snowflake ontdekt. Volgens meldtSlachtoffers werden bedreigd met gegevensblootstelling als ze geen losgeld van maximaal $ 5 miljoen betaalden. De dreigingsactoren slaagden erin ruim 500 miljoen Ticketmaster-records en 30 miljoen van Santander-klanten in gevaar te brengen. Er zullen nog veel meer bedrijfsslachtoffers naar voren komen uit de ruim 160 mensen die vermoedelijk betrokken zijn bij de campagne voor het stelen van gegevens.

Leverancier van bedreigingsinformatie Mandiant, dat onderzoek doet, beweert dat de slechte acteurs deze chaos hebben veroorzaakt met behulp van ontwapenend eenvoudige tactieken. Ze gebruikten Snowflake-logins van klanten die waren verkregen door infostealer-malware en profiteerden vervolgens van een gebrek aan multifactor-authenticatie (MFA) om door een open deur te lopen. Het is reden genoeg om ervoor te zorgen dat uw cyberverdediging bestand is tegen een aanval om informatie te stelen.

Wat zijn infostealers?

Infostealers zijn een steeds vaker voorkomende klasse van malware die, zoals de naam al doet vermoeden, is ontworpen om heimelijk gevoelige informatie van de computer of het mobiele apparaat van een slachtoffer te extraheren. Deze gegevens zullen óf rechtstreeks door dezelfde dreigingsactoren worden gebruikt, óf, waarschijnlijker, worden verkocht via de cybercriminaliteitswereld voor gebruik bij vervolgidentiteitsfraude en cyberaanvallen zoals de campagne tegen Snowflake-klanten.

De malware kan zoeken naar informatie zoals:

Bestanden die zijn opgeslagen op de eindpuntmachine/het eindpuntapparaat
Gegevensstromen van instant messaging-apps zoals Telegram
Activa in crypto-wallets, zoals NFT's en munten
Inloggegevens opgeslagen in e-mail- of FTP-clients, gamingplatforms of VPN-profielen
Informatie opgeslagen in de browser, waaronder wachtwoorden en inloggegevens van meerdere sites, opgeslagen creditcards, authenticatie-/sessiecookies, automatisch ingevulde logins en nog veel meer

Door het vastleggen van sessiecookies kunnen bedreigingsactoren MFA omzeilen, waardoor ze een krachtige bedreiging worden. Volgens Trend Micro, informatie die is opgeslagen in een apparaatbrowser “is veruit het favoriete doelwit van datastelers”. Zodra zijn werk is gedaan, verzamelt de infostealer al zijn gestolen informatie en plaatst deze in een archief dat een log wordt genoemd. waarvoor verkocht zou kunnen worden meer dan $ 100, afhankelijk van de kwaliteit en kwantiteit van de gegevens die het bevat.

Infostealers circuleren sinds ongeveer 2011 in de cybercriminaliteit. In de afgelopen vijftien jaar zijn malware-ontwikkelaars hun aanbod blijven verfijnen en aanpassen om zich op verschillende platforms te richten – van Android-apparaten tot Windows-pc's en zakelijke Facebook-accounts. Er zijn verschillende manieren waarop ze kunnen worden afgeleverd, waaronder phishing of smishing (sms-phishing), drive-by-downloads van geïnfecteerde websites, gekraakte games, verborgen in legitiem ogende applicaties, waaronder valse vergadersoftware, Google Ads en zelfs YouTube videobeschrijvingen.

Ze vormen een groeiend risico voor organisaties in post-pandemische hybride werkomgevingen, waar werknemers risicovolle sites kunnen bezoeken op hun persoonlijke apparaten, die vervolgens besmet raken met infostealers. Vanwege BYOD-beleid kunnen dergelijke apparaten ook toegang hebben tot bedrijfsbronnen en gegevens, waardoor deze het risico lopen op diefstal. Ruim de helft (51%) van zeggen IT-leiders ze hebben bewijs gezien van gecompromitteerde persoonlijke apparaten die toegang hebben tot gevoelige bedrijfsgegevens.

Ontduiking van gevangenneming

Tegenwoordig hebben beginnende cybercriminelen en fraudeurs een schat aan opties om uit te kiezen op de ondergrondse markten voor cybercriminaliteit. Ze omvatten populaire infostealers zoals RedLine, Raccoon, Vidar en Taurus. Een Malware-as-a-Service (MaaS)-model heeft ertoe bijgedragen dat de toegang tot dergelijke tools voor een veel bredere groep criminele gebruikers is gedemocratiseerd. En de innovatie-inspanningen gaan door. Sommige marktplaatsen bieden diensten voor het parseren van logbestanden aan om bedreigingsactoren te helpen gegevens uit onbewerkte logbestanden te extraheren voor gebruik of wederverkoop.

Infostealer-ontwikkelaars doen ook veel moeite om ervoor te zorgen dat hun malware verborgen blijft voor beveiligingstools. Sommige, zoals de Rhadamanthys-variant, werken in het systeemgeheugen om detectie te omzeilen. Anderen, zoals Raccoon, brengen wijzigingen aan in UserAgents en mutexes in een poging om op indicatoren gebaseerde detectie te omzeilen, aldus een van de onderzoekers. melden. Een nieuwe versie van de populaire Lumma-variant vorig jaar verschenen met geavanceerde anti-sandbox-mogelijkheden. De mannen en vrouwen achter deze tools doen ook hun best om verborgen te blijven: ze adverteren voor hun waren op Telegram, Mastadon en andere sites in plaats van via gecentraliseerde criminele marktplaatsen die gevoelig zijn voor toezicht en verstoring van de wetshandhaving.

Hoe u de dreiging van Infostealers kunt beperken

Er bestaat geen twijfel over de potentieel ernstige bedreiging die zij vormen voor de cyberveiligheid van bedrijven. Naast de inbreuken op het Snowflake-account was een infostealer die onbewust naar de laptop van een medewerker werd gedownload verantwoordelijk wegens een groot datalek bij het continue integratie- en leveringsplatform CircleCI vorig jaar. Eén leverancier vorderingen dat in 10 op 2023 miljoen apparaten te maken kregen met informatiestelende malware, een zevenvoudige stijging sinds 2020.

Het goede nieuws is dat beproefde best practices infostealers van bedrijfssystemen kunnen houden, aldus Bharat Mistry, technisch directeur van Trend Micro UK & Ireland.

“Organisaties kunnen de dreiging van infostealers beperken door preventieve maatregelen te implementeren, zoals training van medewerkers, sterke authenticatie en eindpuntbescherming”, vertelt hij aan ISMS.online. “Regelmatige software-updates en netwerkbeveiliging zijn ook cruciaal. Detectiestrategieën omvatten geavanceerde detectie van bedreigingen, regelmatige beveiligingsaudits en continue monitoring.”

Leiders op het gebied van IT-beveiliging kunnen echter ook het risico van infostealers beperken door te voldoen aan de best practice-normen.

“Naleving van normen als ISO 27001 verbetert de inspanningen op het gebied van cyberbeveiliging aanzienlijk door een gestructureerde aanpak van risicobeheer aan te bieden en uitgebreide beveiligingscontroles te implementeren, die essentieel zijn voor robuuste bescherming”, betoogt Mistry.

“Regelmatige audits zorgen voor voortdurende waakzaamheid tegen opkomende bedreigingen. De opleiding en het bewustzijn van medewerkers zijn van cruciaal belang, zodat uw personeel de eerste verdedigingslinie wordt. Bovendien garanderen de strenge vereisten voor incidentbeheer van de norm dat eventuele inbreuken snel en effectief worden aangepakt.”

In vergelijking met mogelijk levensbedreigende ransomware-aanvallen klinken infostealers misschien niet als een significant cyberveiligheidsrisico. Zoals het Snowflake-incident echter benadrukt, spelen ze een steeds belangrijkere rol in het ecosysteem van cybercriminaliteit. Omdat ze diefstal van inloggegevens en het omzeilen van MFA mogelijk maken, zouden ze de eerste fase kunnen zijn in een verwoestende datalek en afpersingsaanval. Het is tijd om deze best practices op het gebied van cyberbeveiliging af te stoffen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster