January 21, 2025

|

Resources

Infostealer bij je organisatie? Zo grijp je in.

Wanneer er aanwijzingen zijn dat een infostealer actief is binnen je organisatie, is dit een ernstige bevinding. Infostealers stellen aanvallers in staat om inloggegevens, wachtwoorden en gevoelige data van je organisatie te stelen, wat kan leiden tot datalekken en hacks.

Het is van belang om snel en effectief te reageren om verdere schade te voorkomen. In dit artikel lees je stap voor stap hoe je de schade kunt beperken en je organisatie kunt beschermen tegen verdere risico’s.

Stap 1: Trek toegang onmiddellijk in

Bij een vermoeden van een infostealer-infectie is het essentieel om direct in te grijpen. Het geïnfecteerde apparaat kan namelijk nog steeds toegang bieden tot interne systemen en gegevens.

Wat je moet doen

  • Deactiveer toegangsrechten: Blokkeer tijdelijk de toegang van de getroffen gebruiker tot alle interne systemen en netwerken.
  • Beëindig actieve sessies: Forceer een logout van alle actieve sessies en maak alle bestaande sessietokens ongeldig. Sessietokens kunnen door de infostealer zijn gestolen en gebruikt worden om toegang te krijgen zonder dat een wachtwoord nodig is.

Tip: Inventariseer tot welke applicaties een gebruiker allemaal toegang heeft. Denk naast de kernlogin bijvoorbeeld aan VPN, HR-applicaties en financiële systemen.

Waarom deze stap belangrijk is: Door snel de toegang te blokkeren, voorkom je dat aanvallers verder opereren binnen je netwerk en systemen. 

Stap 2: Onderzoek mogelijk misbruik

Zodra de toegang is beperkt, is het tijd om te onderzoeken of de infostealer al misbruikt is om schade aan te richten. Dit onderzoek helpt om de omvang van de infectie vast te stellen en vervolgstappen te bepalen.

Analyseer de volgende signalen

  • Onbekende logins: Controleer of er inlogpogingen zijn geweest vanaf onbekende apparaten of IP-adressen.
  • Activiteiten op ongebruikelijke tijdstippen: Bijvoorbeeld logins midden in de nacht of vanuit een onverwachte geografische locatie.
  • Toegang tot gevoelige data: Controleer of er abnormale activiteiten zijn geregistreerd, zoals het openen van dossiers of databases die normaal niet toegankelijk zijn voor de gebruiker.
  • Ongewone bestandsoverdrachten: Bijvoorbeeld grote downloads of het kopiëren van vertrouwelijke documenten.

Actie bij verdachte activiteiten

Start een forensisch onderzoek om de volledige omvang van de aanval in kaart te brengen. Dit kan helpen om verdere schade te voorkomen.

Waarom deze stap belangrijk is: Door snel inzicht te krijgen in wat er mogelijk is gebeurd, kun je gericht actie ondernemen om verdere schade te voorkomen.

Stap 3: Begeleid de gebruiker met het verwijderen van de malware

Het geïnfecteerde apparaat moet grondig worden opgeschoond voordat het weer veilig kan worden gebruikt. De betrokken gebruiker moet hierbij ondersteund worden.

Wat je moet doen

  • Voor managed apparaten: Neem het apparaat in beheer en laat het opschonen door het IT-team. Zorg ervoor dat het apparaat wordt gescand op malware en grondig wordt gereinigd.
  • Voor unmanaged apparaten:  Werk samen met de gebruiker of leverancier om het apparaat te reinigen. Voor instructie: zie hieronder.

Ondersteun je collega

Voor veel gebruikers is het reageren op een infostealer-infectie een complex en stressvol proces. Zorg ervoor dat je duidelijke instructies biedt en de gebruiker begeleidt bij het reinigen van het apparaat. 

Voor het informeren van de gebruiker kun je deze handige gids gebruiken. 

De gewenste eindresultaten

  • De malware is volledig verwijderd van het apparaat.
  • De gebruiker is zich bewust van wat een infostealer-infectie betekent en welke gevolgen dit heeft.
  • De gebruiker neemt aanvullende beveiligingsmaatregelen, zoals het instellen van nieuwe wachtwoorden en het beveiligen van het apparaat.

Pas als je vertrouwen kan hebben dat het apparaat opgeschoond is, kun je aan de slag met stap 4.

Waarom deze stap belangrijk is: Het verwijderen van de malware voorkomt verdere schade en minimaliseert het risico dat het apparaat opnieuw een ingang wordt voor aanvallers.

Stap 4: Stel wachtwoorden opnieuw in

Infostealers zijn specifiek ontworpen om wachtwoorden en inloggegevens te stelen. Alle wachtwoorden die vanaf het geïnfecteerde apparaat zijn gebruikt, moeten als gecompromitteerd worden beschouwd.

Acties

  • Dit moet voor alle systemen waartoe toegang was, te beginnen met de meest kritieke systemen zoals e-mail, financiële applicaties en overige interne portalen.
  • Help de gebruiker bij het implementeren van een wachtwoordmanager om veilige wachtwoorden gemakkelijk te beheren.
  • Waar mogelijk, zet MFA in om een extra beveiligingslaag toe te voegen.
Waarom deze stap belangrijk is: Door wachtwoorden opnieuw in te stellen en MFA in te schakelen, voorkom je dat aanvallers toegang behouden tot belangrijke accounts, zelfs als ze de inloggegevens hebben gestolen.

Stap 5: Evalueer en beperk toekomstige risico’s.

Nu de acute dreiging is aangepakt, is het van belang om de infectie te evalueren en eventuele structurele verbeteringen door te voeren om toekomstige risico’s te beperken.

Evaluatiepunten

  • Wat is de werkelijke impact van de infostealer-infectie? Wat zijn de gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens binnen de organisatie?
  • Wat was de mogelijke impact van de infectie? Wat had de aanvaller met de verkregen toegang kunnen doen?
  • Wat is de kans dat infostealers in de toekomst een risico vormen? Zijn er preventieve maatregelen die je kunt nemen om herhaling te voorkomen?

Mogelijke verbeteringen

  • Beperk toegang vanaf unmanaged apparaten: Overweeg om toegang tot interne omgevingen alleen toe te staan vanaf beheerde apparaten. Zo zorg je ervoor dat infostealer-infecties op privé-apparaten geen risico meer voor je vormen.
  • Zorg ervoor dat leveranciers ook managed apparaten gebruiken: Laat externe partners altijd via een beheerd apparaat verbinding maken met je netwerk. 
  • Kort de sessieduur in: Verklein de geldigheidsduur van sessietokens om de impact van mogelijke toekomstige aanvallen te beperken.
  • Awarenesscampagnes: Zet een campagne op om medewerkers bewust te maken van de risico’s van infostealers en hoe ze zich kunnen beschermen. Denk daarbij aan het risico van het gebruik van privé-apparaten voor zakelijke doeleinden of aan hoe je tegen een infostealer aan kan lopen.
  • Continue infostealer monitoring: Zet monitoringtools als Passguard in om nieuwe infecties vroegtijdig te detecteren zodat je in kan grijpen.
Waarom deze stap belangrijk is: Het voorkomen van toekomstige infecties is net zo belangrijk als het aanpakken van de huidige dreiging. Een proactieve aanpak maakt je organisatie weerbaarder tegen nieuwe infecties met infostealers. 

Tot slot

Een infostealer-infectie is een serieus risico, maar met een snelle en gestructureerde aanpak kun je de schade beperken en je organisatie beschermen. Door te investeren in preventieve maatregelen, bewustwording en continue monitoring, minimaliseer je het risico op toekomstige incidenten.

Heb je ondersteuning nodig bij het opsporen en oplossen van een infostealer-infectie? Neem contact op met onze experts voor ondersteuning.

Gerelateerde blogs

Lees alle blogs

Infostealer bij je organisatie? Zo grijp je in.

Wanneer er aanwijzingen zijn dat een infostealer actief is binnen je organisatie, is dit een ernstige bevinding. Infostealers stellen aanvallers in staat om inloggegevens, wachtwoorden en gevoelige data van je organisatie te stelen, wat kan leiden tot datalekken en hacks.

January 23, 2025

Infostealer op je apparaat? Voorkom verdere schade met deze 3 stappen.

Een infostealer-infectie betekent dat je gegevens in handen van cybercriminelen zijn. Als je op de hoogte bent gesteld van een infostealer-infectie op je apparaat, is het belangrijk om snel actie te ondernemen. Zo kun je verdere schade voorkomen. Hier lees je wat een infostealer-infectie betekent en welke drie stappen je moet nemen om de gevolgen te beperken.

January 22, 2025

In gesprek met Security Innovation Stories: het verhaal achter Passguard

Recent sprak Tom Leijte met Security Innovation Stories, een platform dat innovatieve verhalen uit de cybersecuritysector verzamelt. In dit interview gaf Tom niet alleen een inkijkje in de wereld van infostealers, maar deelde hij ook het verhaal over het ontstaan en de missie van Passguard.

January 16, 2025

Snel aan de slag met Passguard

Werken met Passguard is makkelijker dan je denkt. Ontdek hoe wij organisaties in 3 stappen hun infostealer-risico helpen te beheersen.

Aan de slag

Gratis quick scan

Full scan

Monitoring

Stop infostealers met
dark web data

Infostealers
Over infostealersPlatformAan de slag
Company
Over onsContact
Legal
PrivacyVoorwaarden