Infostealers: de stille dief in je organisatie

Wat zijn infostealers?

Infostealers zijn een type malware dat data van een apparaat haalt zonder dat de gebruiker het merkt. Het gaat dan om data als gebruikersnamen, wachtwoorden, maar ook om sessiecookies en tokens die toegang geven tot applicaties. Ze doen dat zonder op te vallen. Geen versleutelde bestanden. Geen losgeldbericht. Alleen data die stilletjes wordt afgevoerd om vervolgens buiten de organisatie verhandeld te worden op afgeschermde marktplaatsen. Voor aanvallers is dat genoeg. Ze hoeven niet meer in te breken als ze gewoon kunnen inloggen.

Het verschil met andere malware: Infostealers maken niets kapot. Ze nemen alleen iets mee: Informatie. Waarom? Voor het verkrijgen van toegang.

Hoe werken infostealers?

De aanval begint vaak klein en onschuldig. Een gebruiker download en installeert een tooltje, opent een bestand waarna de malware zich op het apparaat netstelt. Of de gebruiker werkt op een onbeheerd en reeds besmet apparaat. De malware verzamelt alles wat mogelijk waarde heeft: opgeslagen wachtwoorden, browsersessies en andere gevoelige gegevens. Die informatie komt terecht in zogeheten infostealer-logs. Die logs worden actief verkocht en zo verspreid binnen criminele netwerken.

Het kritieke detail: infostealers stelen niet alleen wachtwoorden, maar ook sessies. Daarmee kunnen aanvallers soms zelfs multi-factor authenticatie omzeilen. Voor aanvallers is dat aantrekkelijk. In plaats van zelf in te breken, kopen ze gewoon toegang. En omdat ook sessiegegevens worden gestolen, kunnen ze soms direct systemen binnenkomen zonder opnieuw in te hoeven loggen.

Het gevaar van infostealers

De impact van infostealers zit niet in de aanval zelf, maar in wat er daarna gebeurt. Met gestolen gegevens kunnen accounts worden overgenomen. Dat risico is de laatste jaren sterk toegenomen, juist door de opkomst van deze malware.

Wat het bovendien extra lastig maakt: veel infecties vinden plaats op apparaten die buiten het zicht van de organisatie vallen, zoals privé-laptops of apparaten die niet door de organisatie beheerd worden. Traditionele beveiligingsmaatregelen zien die simpelweg niet.

Daardoor ontstaat een blinde vlek. Je systemen lijken veilig, terwijl de toegang tot jouw systemen en data al op straat ligt. En omdat infostealers een belangrijke bron zijn voor initiële toegang bij grotere aanvallen, vormen ze vaak het begin van iets groters.

Kortom: infostealers maken van een klein incident vaak een groter probleem.

Wat kun je zelf doen?

Technologie helpt, maar een groot deel van het risico zit in het dagelijks gebruik van data, apparaten en systemen. Infostealers profiteren van gemak en hergebruik.

Het begint daarom bij basismaatregelen:

• Wees kritisch op software en downloads. Veel infecties starten met iets dat legitiem lijkt. Let dus op waar je software download en gebruik alleen de officiële stores.
• Gebruik daarnaast sterke en unieke wachtwoorden, zodat één besmetting niet meteen meerdere systemen raakt. Een passwordmanager kan helpen bij het maken en veilig opslaan van wachtwoorden.
• En misschien wel het belangrijkste: ga ervan uit dat een gestolen account geen waarschuwing is, maar een incident. Want zodra data op een marktplaats staat, is er al iemand die ernaar kijkt.

Tot slot

Infostealers veranderen het speelveld. Het zijn geen luidruchtige aanvallers, ze werken stil, snel en effectief. Dat vraagt om een andere blik op security. Niet alleen beschermen, maar ook kijken waar je normaal niet kijkt en begrijpen wat er al gelekt is.
Wie daar geen zicht op heeft, loopt altijd een stap achter.

Wil je weten of jouw domein bekend is op het darkweb? Test het eenvoudig op onze site: www.tesorion.nl/passguard

Auteur: Bram Nijenhuis, incident handler CERT bij Tesorion