hvad er infostealers og hvorfor skulle min virksomhed være bekymret banner

Hvad er infostealere, og hvorfor skal min virksomhed være bekymret?

I juni i år blev en masseafpresningskampagne mod kunder hos datasky-specialisten Snowflake opdaget. Ifølge rapporter, blev ofre truet med dataeksponering, hvis de ikke betalte en løsesum på op til $5 mio. Trusselsaktørerne formåede at kompromittere over 500 millioner Ticketmaster-plader og 30 millioner tilhørende Santander-kunder. Mange flere virksomheders ofre skal stadig dukke op fra de 160+, der menes at være blevet fanget i datatyverikampagnen.

Leverandør af trusselsefterretninger Mandiant, som efterforsker, hævder, at de dårlige skuespillere forårsagede dette kaos ved at bruge afvæbnende enkle taktikker. De brugte kunde-Snowflake-logins opnået af infostealer-malware og udnyttede derefter en mangel på multifaktorautentificering (MFA) til at gå gennem en åben dør. Det er grund nok til at sikre, at dit cyberforsvar kan modstå et angreb, der stjæler oplysninger.

Hvad er Infostealers?

Infostealere er en mere og mere udbredt klasse af malware designet, som navnet antyder, til hemmeligt at udtrække følsomme oplysninger fra et offers computer eller mobile enhed. Disse data vil enten blive brugt direkte af de samme trusselsaktører eller, mere sandsynligt, solgt på undergrunden af ​​cyberkriminalitet til brug i efterfølgende identitetssvindel og cyberangreb som kampagnen mod Snowflake-kunder.

Malwaren leder muligvis efter oplysninger som:

  • Filer gemt på slutpunktsmaskinen/enheden
  • Datastrømme fra instant messaging-apps som Telegram
  • Aktiver indeholdt i kryptotegnebøger, såsom NFT'er og mønter
  • Legitimationsoplysninger gemt i mail- eller FTP-klienter, spilleplatforme eller VPN-profiler
  • Oplysninger gemt i browseren, som kan omfatte adgangskoder og legitimationsoplysninger fra flere websteder, lagrede kreditkort, autentificering/sessionscookies, automatisk udfyldte logins og meget mere

Opsamling af sessionscookies kan gøre det muligt for trusselsaktører at omgå MFA, hvilket gør dem til en potent trussel. Ifølge Trend Micro, information gemt i en enhedsbrowser "er langt det foretrukne mål for datatyvere". Når dets arbejde er færdigt, indsamler infotyveren alle sine stjålne oplysninger og placerer dem i et arkiv kaldet en log – som kunne sælges for over $100 afhængigt af kvaliteten og mængden af ​​data, den indeholder.

Infostealere har cirkuleret på undergrunden af ​​cyberkriminalitet siden omkring 2011. I løbet af de sidste 15 år har malwareudviklere fortsat med at forfine og tilpasse deres tilbud til at målrette mod forskellige platforme – fra Android-enheder til Windows-pc'er og Facebook-virksomhedskonti. Der er flere måder, de kan leveres på, herunder phishing eller smishing (SMS-phishing), drive-by-downloads fra inficerede websteder, crackede spil, skjult i applikationer, der ser legitimt ud, bl.a. falsk mødesoftware, Google Ads og endda YouTube video beskrivelser.

De udgør en voksende risiko for organisationer i post-pandemiske hybride arbejdsmiljøer, hvor medarbejdere kan besøge risikable websteder på deres personlige enheder, som derefter bliver inficeret med infotyvere. På grund af BYOD-politikker kan sådanne enheder også have adgang til virksomhedens ressourcer og data, hvilket medfører risiko for tyveri. Over halvdelen (51 %) af siger it-ledere de har set beviser for kompromitterede personlige enheder, der har adgang til følsomme virksomhedsdata.

Undgå fangst

I dag har spirende cyberkriminelle og svindlere et væld af muligheder at vælge imellem på de underjordiske markeder for cyberkriminalitet. De omfatter populære infostealere som RedLine, Raccoon, Vidar og Taurus. En malware-as-a-service-model (MaaS) har hjulpet med at demokratisere adgangen til sådanne værktøjer til en meget bredere kriminel brugerbase. Og innovationsindsatsen fortsætter. Nogle markedspladser tilbyder log-parsing-tjenester for at hjælpe trusselsaktører med at udtrække data fra rå logfiler til brug eller videresalg.

Infostealer-udviklere bruger også masser af kræfter på at sikre, at deres malware forbliver skjult fra sikkerhedsværktøjer. Nogle, som Rhadamanthys-varianten, opererer i systemhukommelsen for at undgå registrering. Andre, som Raccoon, har ændringer til UserAgents og mutexes i et forsøg på at omgå indikator-baseret detektion, ifølge en indberette. En ny version af den populære Lumma-variant dukkede op sidste år med sofistikerede anti-sandbox-funktioner. Mændene og kvinderne bag disse værktøjer går også langt for at forblive skjulte - annoncerer deres varer på Telegram, Mastadon og andre websteder i stedet for gennem centraliserede kriminelle markedspladser, der er tilbøjelige til at overvåge og forstyrre retshåndhævelsen.

Sådan afbøder du truslen fra Infostealers

Der er ingen tvivl om den potentielt alvorlige trussel, de udgør for virksomhedernes cybersikkerhed. Bortset fra brud på Snowflake-kontoen var en infotyver, der uforvarende blev downloadet til en medarbejders bærbare computer, ansvarlig for et større databrud på kontinuerlig integrations- og leveringsplatform CircleCI sidste år. Én sælger fordringer at 10 millioner enheder stødte på info-stjælende malware i 2023, en syvdobling siden 2020.

Den gode nyhed er, at afprøvede bedste praksis kan holde infostealere væk fra virksomhedens systemer, ifølge Trend Micro UK & Ireland teknisk direktør, Bharat Mistry.

"Organisationer kan afbøde truslen fra infostealere ved at implementere forebyggende foranstaltninger såsom medarbejderuddannelse, stærk autentificering og slutpunktsbeskyttelse," siger han til ISMS.online. “Jævnlige softwareopdateringer og netværkssikkerhed er også afgørende. Detektionsstrategier omfatter avanceret trusselsdetektion, regelmæssige sikkerhedsaudits og kontinuerlig overvågning."

IT-sikkerhedsledere kan dog også mindske risikoen fra infostealere gennem overholdelse af best practice-standarder.

"Overholdelse af standarder som ISO 27001 forbedrer cybersikkerhedsindsatsen markant ved at tilbyde en struktureret tilgang til risikostyring og implementering af omfattende sikkerhedskontroller, som er afgørende for robust beskyttelse," hævder Mistry.

"Jævnlige audits sikrer kontinuerlig årvågenhed mod nye trusler. Medarbejdertræning og bevidsthed er afgørende, og forvandler dit personale til den første forsvarslinje. Derudover garanterer standardens strenge hændelsesstyringskrav, at eventuelle brud bliver løst hurtigt og effektivt."

Når de matches mod potentielt livstruende ransomware-angreb, lyder infostealere muligvis ikke som en væsentlig cybersikkerhedsrisiko. Men som Snowflake-hændelsen fremhæver, spiller de en stadig vigtigere rolle i økosystemet for cyberkriminalitet. Som en mulighed for tyveri af legitimationsoplysninger og MFA-omgåelse, kan de være den første fase i et ødelæggende databrud og afpresningsangreb. Det er tid til at støve disse bedste praksisser for cybersikkerhed ned.

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!