Infostealers: de grote dreiging die uitgaat van informatie-stelende malware

Hoewel ransomware veelal het nieuws domineert, komt een andere verraderlijke vorm van malware eigenlijk veel vaker voor. Iedereen kan erdoor worden getroffen, van particuliere thuiscomputers tot grote internationale bedrijven. Infostealers, oftewel informatie-stelende malwareprogramma's, gaan in geïnfecteerde computersystemen op zoek naar gevoelige informatie zoals wachtwoorden, cryptowallets, sessiecookies, financiële gegevens en andere persoonlijke data. De gestolen informatie wordt vervolgens doorgesluisd naar de gebruiker van de malware. Veel infostealers zijn tegenwoordig beschikbaar als "malware-as-a-service" (MaaS). Hierbij kunnen criminelen een abonnement aanschaffen (vaak voor honderden dollars per maand) om de malware te gebruiken voor hun eigen doeleinden. Het onderhoud en de hosting van de malware blijft in handen van de softwareontwikkelaar die de malware te koop aanbiedt.  Dit verlaagt de technologische drempel voor cybercriminelen, met als gevolg dat infostealers snel in opkomst zijn als wereldwijde cyberdreiging. Hoe komt deze malware bij de slachtoffers terecht? Het doelwit kan op verschillende manieren worden geïnfecteerd, bijvoorbeeld via phishing-mails, een bezoek aan een geïnfecteerde website of een frauduleuze app. Zodra een computer of netwerk is geïnfecteerd, wordt de malware gestart. Deze probeert zo snel mogelijk kritieke informatie in browsers of bestandsmappen te vinden en door te sturen - liefst inclusief het hoofdwachtwoord van LastPass. De hackers gebruiken deze gegevens vervolgens om zichzelf toegang te verschaffen tot waardevolle accounts, of ze verpakken de informatie in "logs" om deze te verkopen op online markten, webforums of andere criminele sites. De prijzen liggen momenteel rond de $10 per log. Er zijn op elk willekeurig moment miljoenen logs te koop - waaruit wel blijkt hoe wijdverspreid en alledaags deze vorm van malware is geworden. Een log bevat inloggegevens en andere gevoelige informatie van een slachtoffer. De doelwitten lopen uiteen van multinationals tot eenmansbedrijven en persoonlijke accounts die van een thuiscomputer worden gestolen. Wat doet LastPass hiertegen? Om te beginnen heeft LastPass flink geïnvesteerd in ons programma voor Cyber Threat Intelligence, zodat we onze beveiliging verder kunnen versterken.  Hiervoor hebben we een speciaal TIME-team (Threat Intelligence, Mitigation & Escalation) opgericht. Dit team versterkt onze monitorings- en waarschuwingscapaciteiten op het gebied van cyberdreigingen door gebruik te maken van open-source of zelf ontwikkelde rapportagefuncties. Bovendien monitoren we op een proactieve manier een groot aantal sites op het dark web om kwaadaardige activiteiten op te sporen. We integreren al deze informatie automatisch met onze gespecialiseerde teams voor detectie & respons en kwetsbaarhedenbeheer, zodat de mitigatie na een inbreuk sneller kan verlopen. Tot slot hebben we een specifiek, doelgericht proces ontwikkeld voor het monitoren van blootgestelde persoonlijke informatie. Hierdoor kunnen we snel een waarschuwing sturen naar onze klanten die hebben gekozen voor monitoring van het dark web. Zoals te verwachten viel, zijn hoofdwachtwoorden zeer gewild binnen de gemeenschap van infostealers, omdat deze wachtwoorden toegang geven tot de kluis van een gebruiker met alle gebruikersnamen, wachtwoorden en andere gevoelige gegevens. Er zijn tientallen infostealers op de markt, maar LastPass monitort vooral drie infostealer-families die regelmatig gegevens van LastPass-klanten te koop aanbieden:

• Redline: Deze MaaS-stealer bestaat sinds 2020 en is een van de meest voorkomende.
• Raccoon: Varianten van deze stealer zijn al beschikbaar sinds 2019.
• Vidar: Deze stealer is al minstens sinds 2018 op de markt en kan ook screenshots maken.

LastPass neemt robuuste maatregelen om de inloggegevens van onze klanten te beschermen. We hebben onlangs onze monitoring van het dark web uitgebreid door ook de logs van infostealers te volgen, evenals andere mogelijke bronnen voor gegevens van LastPass-klanten. LastPass kan niet helpen om de initiële infectie te verhinderen, omdat deze vaak plaatsvindt via phishing, een bezoek aan een geïnfecteerde website of het gebruik van een kwaadaardige app op een eindgebruikersapparaat. Maar we kunnen onze klanten wel helpen door hen te waarschuwen zodra we ontdekken dat hun gegevens zijn gestolen. Welke maatregelen kunt u nemen om uw account te beschermen? We adviseren alle LastPass-gebruikers om deel te nemen aan ons programma voor monitoring van het dark web. Dit biedt extra zekerheid. U krijgt dan bericht van ons als uw inloggegevens onverhoopt op het dark web worden aangetroffen. En verder:

• Gebruik multi-factor authenticatie (MFA) overal waar deze optie beschikbaar is, om uw accounts zo goed mogelijk te beschermen. Let er wel op dat u geen MFA-verzoeken accepteert of goedkeurt die u niet zelf expliciet hebt gegenereerd.
• Vertrouw nooit een app die wordt aangeboden via niet-traditionele kanalen (buiten de gebruikelijke app stores).
• Gebruik een antivirusprogramma en download regelmatig de updates. Beter nog: stel het programma in op automatisch updaten.
• Bewaar uw hoofdwachtwoord nooit op uw computer of een ander apparaat, óók niet bij de automatische invulopties van uw webbrowser.

LastPass gaat door met het verder versterken en uitbreiden van onze monitoring- en rapportagecapaciteiten. Bovendien werken we aan een proces voor het proactief verstoren van malware die zich richt op LastPass-accounts als doelwit. Als onderdeel van ons streven naar transparantie zullen we onze klanten en de bredere cybergemeenschap op de hoogte houden van de nieuwste cybertrends, de maatregelen die we nemen om de gegevens van onze klanten veilig te houden, en de impact van onze inspanningen. LastPass Labs is de centrale content hub voor het TIME-team (Threat Intelligence, Mitigation, and Escalation) team van LastPass. Wij maken diepgaande analyses van de nieuwste ontwikkelingen op het gebied van cyberbeveiliging door middel van innovatieve technologieën een uniek perspectief op nieuwe dreigingen. Het LastPass TIME-team (Threat Intelligence, Mitigation, and Escalation) houdt zich bezig met het beschermen van onze gemeenschap door het monitoren, analyseren en mitigeren van dreigingen die zijn gericht tegen onze klanten, ons bedrijf en de beveiligingsbranche als geheel. Het heeft gezamenlijk al 50 jaar ervaring met cyberbeveiliging en dreigingsanalyse en gelooft sterk in het uitwisselen van informatie en het opbouwen van vruchtbare relaties om een effectief programma voor het verzamelen en analyseren van dreigingsinformatie te kunnen ontwikkelen. Binnen LastPass leveren we tijdige en bruikbare informatie aan onze beveiligingsteams, zodat zij onze klanten, hun data en ons bedrijf beter kunnen beschermen. Naast het uitvoeren van analyses en het informeren van onze beveiligingsteams over de nieuwste ontwikkelingen op het gebied van cyberdreigingen, werken we ook aan systemen om onze dreigingsinformatie geautomatiseerd door te geven aan de processen van onze partners, zodat nieuw ontdekte dreigingen sneller gemitigeerd kunnen worden.