October 8, 2024
|
Infostealers series
October 8, 2024
|
Infostealers series
De afgelopen jaren hebben veel organisaties effectieve maatregelen genomen om hun netwerken te beveiligen en het risico van phishing-aanvallen te verkleinen. Als gevolg hiervan is de effectiviteit van traditionele aanvalsmethoden sterk afgenomen. Dit vormt een groot probleem voor cybercriminelen, omdat hun hele ecosysteem afhankelijk is van succesvolle aanvallen.
Naarmate traditionele methoden minder opleveren, zien we een aanzienlijke toename in het gebruik van infostealers. Deze verschuiving heeft ertoe geleid dat criminele groepen hun focus verleggen van methoden zoals ransomware naar de ontwikkeling en verspreiding van infostealers. Dit fenomeen is zo wijdverbreid dat het jaarlijkse IBM X-Force Threat Intelligence Report een duidelijke verandering in de tactieken van cybercriminelen vaststelt: "In this era, the focus has shifted towards logging in rather than hacking in."
We zien hier een duidelijk "waterbedeffect". Terwijl één aanvalsmethode wordt ingeperkt, komen er andere in opkomst om de leegte op te vullen. In het geval van infostealers zijn er specifieke trends die bijdragen aan hun snelle groei. Hieronder bespreken we de belangrijkste factoren die dit risico versterken.
Een belangrijke factor is dat infostealers steeds makkelijker in gebruik zijn geworden. Cybercriminelen hebben de interfaces en functionaliteiten van infostealers geoptimaliseerd, waardoor ze toegankelijker zijn voor een breder publiek, zelfs voor degenen zonder uitgebreide technische kennis. Veel van deze tools worden aangeboden met gebruiksvriendelijke handleidingen en ondersteuning, waardoor zelfs minder ervaren aanvallers in staat zijn om ze effectief te implementeren. Dit verlaagt de toegangsdrempel tot cybercriminaliteit, waardoor ook low-tech aanvallers succes kunnen boeken met relatief weinig inspanning en technische vaardigheden.
Met de groei van hybride en thuiswerken, neemt het gebruik van Bring Your Own Device (BYOD) binnen organisaties sterk toe. Bij een onderzoek van HP gaf 48% van de 8000 respondenten aan dat er sprake was van BYOD bij hun organisatie, waarbij 74% verwachtte dat dit zou toenemen.
Des te meer er sprake is van slecht beschermde privé-apparaten in de zakelijke omgeving, des te meer ruimte is er voor infostealers om schade aan te richten. Daarbij moet aangetekend worden dat de 48%-inschatting zoals weergegeven in het onderzoek van HP waarschijnlijk te conservatief is. Infostealers krijgen namelijk ook alle ruimte bij organisaties waar unmanaged apparaten toegang hebben naast het gebruik van managed apparaten. Zelfs dus als er geen actief BYOD-beleid is kunnen infostealers vaak floreren.
Naast de toename van BYOD, zien we ook dat de rol van digitale identiteit steeds belangrijker wordt. Veel organisaties stappen over op cloudgebaseerde applicaties, waarbij toegang tot systemen niet langer via het interne netwerk verloopt, maar via identiteitsbeheer. Dit maakt inloggegevens en sessietokens een primair doelwit voor cybercriminelen.
Infostealers spelen hier perfect op in door sessietokens en inloggegevens van gebruikers te stelen, waardoor aanvallers toegang krijgen tot gevoelige systemen zonder ingewikkelde aanvallen te hoeven uitvoeren. Zodra ze de juiste credentials bemachtigen, kunnen ze eenvoudig inloggen en opereren alsof ze een legitieme gebruiker zijn. Dit verklaart de verschuiving naar wat IBM omschrijft als “logging in rather than hacking in.”
De vierde reden voor de groei van infostealers is de wapenwedloop tussen corporate antivirusoplossingen en malwaremakers. Corporate antivirussoftware is steeds geavanceerder geworden, vooral door de implementatie van zowel signature-based detection — het herkennen van malware op basis van bekende vingerafdrukken — als uitgebreide heuristic-based detection, die continu het gedrag van bestanden en processen analyseert om verdachte activiteiten te identificeren.
Consumenten-antivirusoplossingen blijven doorgaans achter, vooral als het gaat om heuristic-based detection. Dit komt omdat veel consumenten niet bereid zijn om te betalen voor premium antivirusoplossingen, wat leidt tot een gebrek aan financiële middelen voor de ontwikkeling van effectievere beveiligingstechnologieën. Als gevolg hiervan zijn deze oplossingen vaak niet in staat om infostealer-infecties effectief te detecteren, wat de infostealers een kans biedt. Door hun malware, die is ontworpen om te kunnen omgaan met geavanceerde corporate antivirussystemen, te richten op deze zwakkere tegenstanders, hebben ze snel veel succes kunnen boeken.
Infostealers profiteren bovendien van het groeiende cybercriminele ecosysteem. Er zijn levendige marktplaatsen voor gestolen inloggegevens en sessietokens, die door cybercriminelen massaal worden verhandeld. Deze illegale markten zorgen ervoor dat zelfs criminelen zonder technische vaardigheden makkelijk toegang kunnen kopen tot accounts en systemen.
Dit ecosysteem creëert een vliegwieleffect: hoe meer gestolen gegevens beschikbaar zijn, hoe aantrekkelijker het wordt voor criminelen om te investeren in het verspreiden van infostealers. Dit maakt het voor organisaties moeilijker om zich te beschermen, omdat elke succesvolle aanval het probleem alleen maar groter maakt. Nieuwe criminelen worden aangetrokken door de winstgevende markt, wat leidt tot een toename van zowel de vraag naar gestolen data als het aanbod van infostealers.
De snelle groei van het infostealer-risico is een gevolg van meerdere factoren: het steeds makkelijker worden van het gebruik van infostealers, de toename van BYOD, de grotere rol van digitale identiteit, de wapenwedloop tussen malwaremakers en corporate antivirusoplossingen en het vliegwieleffect van het criminele ecosysteem. Welke reden nou het belangrijkst is, maakt daarbij niet uit. Het schetst wel de verandering van het nieuwe tijdperk dat is aangebroken, en welke factoren brandstof geven aan de infostealer revolutie.