Ransomware-aanvallen worden flink geholpen door infostealer-malware. In een nieuw rapport van securitypartij KELA blijkt dat het gebruik van infostealers met 266 procent is toegenomen. Dat niet alleen: in 2025 zal de adoptie alleen maar toenemen.
Infostealers zijn uitgegroeid tot een belangrijke tool voor cybercriminelen. Deze malware verzamelt inloggegevens, persoonlijke data en andere gevoelige informatie, wat vervolgens identiteitsdiefstal, fraude en databreuken kan veroorzaken. KELA wijst in haar kersverse rapport ‘Inside the Infostealer Epidemic’ op gevallen zoals de Black Basta-aanval, waarbij duidelijk werd dat veel ransomware-incidenten beginnen met data die door infostealers is verzameld.
Lees verder: Hoe infostealers, de plaag van TU Eindhoven, te werk gaan
Malware-as-a-Service
Een verontrustende ontwikkeling is dat infostealers steeds vaker worden aangeboden via Malware-as-a-Service (MaaS) programma’s. Deze diensten automatiseren het stelen van inloggegevens, waarbij de gestolen gegevens later dienen als initiële toegang voor aanvallen. Dat is inclusief ransomware. Dit maakt het voor criminelen zonder technische kennis eenvoudiger om mee te doen aan cyberaanvallen. Ze hoeven enkel de portemonnee te trekken en de nodige middelen bij elkaar te rapen.
De handel in gestolen inloggegevens verschuift ook. Waar deze voorheen plaatsvond op traditionele forums, worden nu steeds vaker geautomatiseerde marktplaatsen en abonnementsdiensten gebruikt. Dit versnelt het zoeken, kopen en misbruiken van gecompromitteerde accounts aanzienlijk. De tijd tussen het stelen van gegevens en het uitvoeren van een aanval wordt daardoor steeds korter.
In Nederland zijn de gevolgen al merkbaar, met meer dan 40.000 geïnfecteerde apparaten eind vorig jaar. Vooral IT-medewerkers blijken vaak slachtoffer te worden, extra zorgwekkend gezien hun toegang tot bedrijfsnetwerken.
Wie zijn de slachtoffers?
KELA heeft onderzoek gedaan naar 300 infostealer-infecties in de periode juli-augustus 2024, waarbij bleek dat projectmanagement (28%), consultancy (12%) en softwareontwikkeling (10,7%) de meest getroffen functies waren. De technologiesector was het belangrijkste doelwit, met Brazilië als meest getroffen regio.
Opvallend is dat de pc’s voor persoonlijk gebruik waarop alsnog bedrijfsinloggegevens werden bewaard, vaker werden gecompromitteerd dan werkcomputers. De meeste blootgestelde inloggegevens waren van huidige werknemers, dus in principe moeten organisaties ze kunnen onderwijzen over goed gebruik.
Infostealers kunnen op verschillende manieren systemen binnendringen, zoals via phishing-mails, kwaadaardige bijlagen of gecompromitteerde websites. Ze verzamelen informatie door schermopnames te maken, toetsaanslagen te registreren, browsers over te nemen en lokaal opgeslagen wachtwoorden te stelen.
Verband met ransomware-aanvallen
Een zorgwekkende bevinding in het rapport is het duidelijke verband tussen infostealers en ransomware-groepen. Voor verschillende slachtoffers van de Play-, Akira- en Rhysida-ransomwaregroepen bleken relevante inloggegevens 5-95 dagen (gemiddeld ongeveer 2,5 week) vóór de gerapporteerde aanval op cybercrime-marktplaatsen te zijn verschenen.
Dit wijst op een mogelijke toeleveringsketen tussen infostealer-operators en ransomware-groepen. Criminelen die infostealers verspreiden, verkopen de gestolen gegevens door aan ransomware-groepen, die deze vervolgens gebruiken om netwerken binnen te dringen.
Aanbevolen maatregelen
KELA adviseert organisaties om proactieve beveiligingsmaatregelen te nemen. Deze omvatten continue dreigingsmonitoring, strikte toegangsbeheer, robuuste endpointbeveiliging en regelmatige security awareness-trainingen voor medewerkers.
Gezien de snelle toename van infostealers en hun rol bij ransomware-aanvallen is het voor bedrijven essentieel om zich bewust te zijn van deze dreiging en passende maatregelen te nemen. Met de juiste voorzorgsmaatregelen kunnen organisaties het risico op compromittering van inloggegevens en daaropvolgende aanvallen aanzienlijk verminderen.