Infostealers zijn een nieuw en opkomend risico voor organisaties. Een risico dat direct raakt aan de identiteit van organisaties. Maar wat zijn infostealers eigenlijk, waarom zijn ze gevaarlijk en wat kun je ertegen doen? We spreken erover met Tom Leijte. Hij is CEO en medeoprichter van de Nederlandse startup Passguard, dat zich specialiseert in het opsporen van actieve infostealer-infecties bij klanten.
Tom, een nieuw woord: infostealers. Wat zijn dit eigenlijk?
Ja! Infostealers zijn malware, in de volksmond bekend als computervirussen. Deze malware is gespecialiseerd in precies wat in de naam zit: het stelen van informatie. Dat gaat ver. Als een infostealer op een apparaat is geïnstalleerd steelt het alles waar het bij kan. Dat gaat niet alleen over je lokale bestanden. Denk daarbij ook aan alles wat in je browser is opgeslagen: je zoekgeschiedenis, logingevens en het allerbelangrijkste: sessietokens opgeslagen in cookies.
Waarom zijn die cookies zo belangrijk?
Goede vraag. We kennen cookies natuurlijk vooral van pop-ups als we een website bezoeken. Dat zijn tracking cookies, die ervoor zorgen dat je advertenties voorgeschoteld krijgt passend bij jouw gedrag. Op je apparaat staan echter ook sessietokens opgeslagen, die bewaard worden in cookies.
Het risico van infostealers ontstaat door gestolen sessietokens, waarmee jij je bij een dienst authentiseert. Deze sessietokens worden aangemaakt bij het inloggen, ook bij diensten waar multifactorauthenticatie (MFA) is geïmplementeerd. Met zo’n gestolen sessietoken kan een aanvaller – zolang de sessie actief is – inloggen alsof hij jou is: met alle toegang die jij als gebruiker op zo’n moment hebt. Deze aanval staat in technische termen bekend als session hijacking (kapen van sessies) of token replay attacks.
En je geeft aan dat het risico van infostealer-malware groeit?
Enorm en aan alle kanten. Bij de productiezijde, de makers van de malware, zien we dat infostealers afgelopen jaar de meeste vernieuwing hebben laten zien, meer dan enige andere vorm van malware. Daarnaast neemt de activiteit enorm toe. IBM X-Force gaf in hun rapport aan dat de infostealer-activiteit in 2023 ten opzichte van 2022 met 266% is gegroeid. En wel in zo’n mate dat IBM aangeeft dat de focus in dit tijdperk aan het verschuiven is van “hacking in” naar “logging in”, omdat dit voor aanvallers kostenefficiënter is. Al die toegenomen activiteit leidt ook tot meer infecties op apparaten. Naar schatting van Kaspersky is het aantal infecties tussen 2020 en 2023 vertwaalfvoudigd.
Waardoor ontstaat die snelle groei in infostealers?
Naar mijn idee is dat tweeledig. Enerzijds hebben we te maken met het waterbedeffect. Door toegenomen cybersecuritymaatregelen zijn netwerken steeds veiliger en heeft phishing minder succes. Dat betekent dat aanvallers op zoek moeten naar andere aanvalsmethoden om geld te verdienen met cybercriminaliteit. Juist door de toegenomen rol van Identity in de beveiliging van veel organisaties zijn infostealers hiervoor een uitstekend middel.
Anderzijds zien we een enorme professionalisering van het infostealer-ecosysteem. Bijvoorbeeld bij de makers van infostealers, die geraffineerde methoden implementeren om zoveel mogelijk gegevens te stelen en sessies zo lang mogelijk actief te houden. Maar ook de marktplaatsen zijn continu in beweging, bijvoorbeeld door het recente verplaatsen hiervan naar Telegram, waardoor ze voor een nog breder publiek toegankelijk zijn. Er is hierdoor duidelijk sprake van een vliegwielefffect: de ene factor versnelt de andere, waardoor er sprake is van continue groei en versnelling.
Hoe krijgen organisaties met infostealers te maken?
Er gaapt een gat in de beveiliging van de meeste organisaties. Dit heeft te maken met slecht beschermde onbeheerde apparaten die inloggen op interne systemen. Bijna elke organisatie van formaat heeft eigen managed devices, die goed beveiligd zijn met corporate antivirusoplossingen, zoals EDR-systemen. Daarnaast vertonen medewerkers hier over het algemeen minder risicovol gedrag, waardoor de kans kleiner is dat ze een infostealer binnenhalen.
Maar bijna al die organisaties staan toe dat mensen vanaf hun privé-apparaten inloggen op zakelijke systemen. Ook zwerven er bij veel organisaties andere unmanaged apparaten rond die inloggen, bijvoorbeeld via ZZP’ers of andere leveranciers. En het is precies hier dat het mis gaat.
Dat heeft twee belangrijke redenen. De eerste reden is dat de meeste antivirusoplossingen voor consumenten simpelweg niet opgewassen zijn tegen infostealers. Door continue vernieuwing blijven infostealers onder de radar van deze virusscanners, waardoor ze toch kunnen toeslaan ondanks dat de consument zich veilig waant. De tweede reden is dat mensen op hun eigen apparaten veel meer risicovol gedrag vertonen waardoor zij infostealers binnenhalen. Denk aan het downloaden van illegale kopieën van games en programma’s als Photoshop.
En leiden infostealers echt tot hacks en datalekken?
Dit type kwetsbaarheid is echt een blind spot in de beveiliging van de meeste organisatie, waaruit blijkt dat infostealers een enorm onderschat risico zijn. En dat terwijl het wel leidt tot hacks. Verizon analyseerde dit jaar dat het gebruik van gestolen logingegevens de 1e actie was van aanvallers bij bijna een kwart van alle breaches. Met de brede implementatie van MFA moet dit voor een groot deel afkomstig zijn van door infostealers gestolen sessiecookies.
Begin september concludeerde het Cyber Security Centre van de Australische overheid dit ook concreet. Zij hebben bewijs van meerdere hacks van zakelijke netwerken gestart bij de infectie van persoonlijke apparaten met infostealers.
Oké… dat is nogal wat. Wat kunnen organisaties doen tegen infostealers?
De meest effectieve methode in het voorkomen van infostealers is het afsluiten van toegang tot interne systemen vanaf unmanaged apparaten. Dat wordt vaak gezien als een paardenmiddel, maar is wel de beste methode om het risico van infostealers zeer sterk te verkleinen.
Andere mogelijkheden zijn:
- Meer voorwaarden stellen aan logins middels conditional access.
- Het verkorten van de geldigheid en verlengbaarheid van sessies & autorisaties.
- Het verbeteren van bewustzijn over de risico’s van downloads middels een awareness programma.
Belangrijk is het volgende: als het paardenmiddel niet gekozen wordt zal het risico altijd aanwezig zijn. Dat betekent dat je ook in de toekomst met infecties te maken zult krijgen, waarop je adequaat moet reageren. Dat is dus ook precies waarom klanten zich bij ons aansluiten voor monitoring van infostealer marktplaatsen. Wij informeren hen als nieuwe infecties te koop worden aangeboden, waardoor zij kunnen ingrijpen voordat de infectie escaleert in een grote hack of enorm datalek.
Wilt u meer weten over infostealers? Bezoek de website van Passguard voor een uitgebreide uitleg over dit nieuwe risico.
