Infostealer: die weitverbreitete Bedrohung durch Daten stehlende Malware

Ransomware dominiert immer noch die Schlagzeilen, doch tatsächlich kommt eine andere heimtückische Form von Malware wesentlich häufiger vor. Die Rede ist von Infostealern (kurz für information-stealing, also Daten stehlende Malware), die von großen Konzernen bis hin zu einzelnen Privatcomputern alle betreffen. Infostealer nehmen sensible Daten in infizierten Systemen ins Visier, darunter Passwörter, Krypto-Wallets, Sitzungscookies, Finanzdaten und andere personenbezogene Daten, die schnell zum Bedrohungsakteur ausgeschleust werden. Viele Infostealer werden als „Malware-as-a-Service (MaaS)“ angeboten: Kriminelle können ein Abonnement kaufen (oft für mehrere hundert Dollar pro Monat), um die Malware für ihre eigenen Zwecke zu nutzen, während der Entwickler, der die Malware zum Kauf anbietet, die Wartung und das Hosting übernimmt.  Dies senkt die technologischen Zugangshürden für Cyberkriminelle, sodass sich Infostealer rasch ausbreiten und zu einer umfassenden Cyberbedrohung entwickeln. Wie werden Opfer infiziert? Opfer können auf verschiedene Arten infiziert werden, beispielsweise durch Phishing-Mails, den Besuch einer infizierten Website oder durch betrügerische Apps. Sobald ein Computer oder Netzwerk infiziert wurde, wird die Malware ausgeführt, sucht schnell in Browsern und anderen wichtigen Ordnern nach kritischen Informationen (wenn möglich auch nach LastPass-Master-Passwörtern) und schleust sie aus. Bedrohungsakteure verwenden diese Daten dann entweder, um sich selbst Zugang zu sensiblen Konten zu verschaffen, oder sie packen sie um, um sie auf Märkten, in Foren oder auf anderen kriminellen Seiten zu verkaufen. Die Preise liegen aktuell bei durchschnittlich 10 USD pro Log, und es sind jederzeit Millionen von Logs zum Kauf verfügbar. Das zeigt, wie weitverbreitet und allgegenwärtig die Bedrohung durch Infostealer ist. Diese Logs enthalten Zugangsdaten und andere sensible Informationen von Opfern, bei denen es sich um multinationale Konzerne, kleine Unternehmen oder einzelne, von einem Privatcomputer gestohlene persönliche Konten handeln kann. Was unternimmt LastPass dagegen? Zuallererst hat LastPass im Rahmen seiner Bemühungen um die Weiterentwicklung seines Sicherheitsbereichs erheblich in sein Programm für Cyber Threat Intelligence investiert.  Das umfasst die Bildung eines spezialisierten Teams für Threat Intelligence, Minimierung und Eskalation (TIME), die starke Ausweitung unserer Überwachung und Alarmierung im Rahmen der Threat Intelligence durch Open-Source-Berichte und eigene Berichte sowie die proaktive Überwachung von Deep Web und Darkweb auf schädliche Aktivitäten. Wir operationalisieren diese Intelligence auch, indem wir ihre Integration mit unseren Erkennungs-, Reaktions- und Schwachstellenmanagementteams automatisieren, was die Zeitspanne bis zu Schadensbegrenzung verkürzt. Schließlich haben wir einen speziellen und fokussierten Prozess für die Überwachung exponierter Kundenzugangsdaten und entsprechende Warnungen für Kunden, die an unserer Darkweb-Überwachung teilnehmen, entwickelt. Wie nicht anders zu erwarten, sind Master-Passwörter in der Infostealer-Community hoch begehrt, da sie Zugang zum Vault eines Kunden und den darin enthaltenen Daten und Passwörtern versprechen. Es sind Dutzende von Infostealern verfügbar, aber LastPass verfolgt drei Malware-Stämme, die dafür bekannt sind, Zugangsdaten von LastPass-Kunden zum Kauf anzubieten:

• Redline: Dieser MaaS-Stealer ist seit 2020 erhältlich und gehört zu den am häufigsten anzutreffenden.
• Raccoon: Varianten dieses Stealers sind seit 2019 verfügbar.
• Vidar: Dieser Stealer ist mindestens seit 2018 erhältlich und kann auch Screenshots machen.

LastPass ergreift wichtige Maßnahmen, um die Zugangsdaten seiner Kunden zu schützen. Vor kurzem haben wir unsere Darkweb-Überwachung auch auf Infostealer-Logs und andere potenzielle Quellen für Zugangsdaten von LastPass-Kunden ausgeweitet. LastPass kann die ursprüngliche Infektion nicht verhindern, da diese oft über Phishing, den Besuch einer infizierten Website oder die lokale Verwendung einer betrügerischen App auf dem Gerät des Endbenutzers erfolgt. Wir können aber dennoch zum Schutz unserer Kunden beitragen, indem wir sie informieren, sobald wir entdecken, dass ihre Daten gestohlen wurden. Was können Sie tun, um Ihr Konto zu schützen? Wir empfehlen allen LastPass-Nutzern, sich für die Teilnahme an unserem Darkweb-Überwachungsprogramm zu entscheiden, was eine zusätzliche Absicherung bietet. Sollten Ihre Zugangsdaten im Darkweb auftauchen, informieren wir Sie. Zusätzlich:

• Verwenden Sie, wo immer es möglich ist, Multifaktor-Authentifizierung (MFA), um Ihre Konten zu schützen. Akzeptieren oder genehmigen Sie keine MFA-Anfragen, die Sie nicht ausdrücklich generiert haben.
• Vertrauen Sie keinen Apps, die über nicht-traditionelle Kanäle angeboten werden (d. h. außerhalb von App-Stores).
• Verwenden Sie ein Virenschutzprogramm und aktualisieren Sie es regelmäßig, oder noch besser, aktivieren Sie die automatische Aktualisierung.
• Speichern Sie Ihr Master-Passwort nicht auf Ihrem Gerät, auch nicht in automatischen Ausfüllfunktionen des Browsers.

LastPass wird seine Überwachungs- und Berichtsfunktionen weiter verbessern, und wir entwickeln einen Prozess, um die Malware-Stämme, die LastPass-Konten ins Visier nehmen, proaktiv zu stören. Im Rahmen unseres Engagements für Transparenz tun wir unser Bestes, um unsere Kunden und die breitere Cybersicherheits-Community über diese Trends zu informieren und über die Schritte, die wir zum Schutz der Daten unserer Kunden unternehmen, sowie die Wirkung unserer Anstrengungen auf dem Laufenden zu halten. LastPass Labs ist der Content-Hub für das „Threat Intelligence, Mitigation, and Escalation“-Team (TIME) bei LastPass. Wir konzentrieren uns dabei auf die genaue Analyse der neuesten Sicherheitsentwicklungen, einen scharfen Blick für zukunftsweisende Technologien und einzigartige Bedrohungsperspektiven. Das „Threat Intelligence, Mitigation, and Escalation“-Team (TIME) von LastPass setzt den Fokus auf den Schutz unserer Community, indem es Bedrohungen für unsere Kunden, unser Unternehmen und unsere Branche überwacht, analysiert und entschärft. Das Team verfügt zusammen über fast 50 Jahre Erfahrung in den Bereichen Intelligence und Cyber Experience und glaubt fest daran, dass der Informationsaustausch und Aufbau von Beziehungen der Schlüssel zu einem erfolgreichen Intelligence-Programm sind. Unser Ziel bei LastPass ist es, den Stakeholdern zeitnahe und umsetzbare Informationen zu liefern. Dadurch können unsere Sicherheitsteams unsere Kunden, ihre Daten und das Unternehmen schützen. Wir führen nicht nur Analysen durch und informieren unsere Sicherheitsteams über allgemeine Entwicklungen im Bereich Cyberbedrohungen, sondern arbeiten auch daran, unsere Erkenntnisse automatisch in die Prozesse unserer Partner einzubinden und die Zeitspanne von der Bedrohungserkennung bis zur Schadensbegrenzung zu minimieren.