wat is infostelers en hoekom moet my besigheid bekommerd wees banier

Wat is Infostealers en waarom moet my besigheid bekommerd wees?

In Junie vanjaar is 'n massa-afpersingsveldtog teen kliënte van die datawolkspesialis Snowflake ontdek. Volgens verslae, is slagoffers met datablootstelling gedreig as hulle nie 'n losprys van tot $5 miljoen betaal het nie. Die bedreiging-akteurs het daarin geslaag om meer as 500 miljoen Ticketmaster-rekords te kompromitteer en 30 miljoen wat aan Santander-kliënte behoort. Baie meer korporatiewe slagoffers moet nog na vore kom uit die 160+ wat vermoedelik in die data-steelveldtog vasgevang is.

Verkoper van bedreigingsintelligensie Bedelaar, wat ondersoek instel, beweer die slegte akteurs het hierdie chaos veroorsaak deur ontwapenende eenvoudige taktiek te gebruik. Hulle het klante Snowflake-aanmeldings gebruik wat deur infostealer-wanware verkry is en toe voordeel getrek uit 'n gebrek aan multifaktor-verifikasie (MFA) om deur 'n oop deur te stap. Dit is genoeg rede om te verseker dat jou kuberverdediging 'n aanval wat inligting steel, kan weerstaan.

Wat is Infostealers?

Infostealers is 'n toenemend algemene klas wanware wat ontwerp is, soos die naam aandui, om sensitiewe inligting heimlik van 'n slagoffer se rekenaar of mobiele toestel te onttrek. Hierdie data sal óf direk deur dieselfde bedreiging-akteurs gebruik word óf, meer waarskynlik, op die kubermisdaad-ondergronds verkoop word vir gebruik in opvolg-identiteitsbedrog en kuberaanvalle soos die veldtog teen Snowflake-kliënte.

Die wanware sal dalk na inligting soek soos:

  • Lêers wat op die eindpuntmasjien/toestel gestoor is
  • Data stroom vanaf kitsboodskapprogramme soos Telegram
  • Bates vervat in kripto-beursies, soos NFT's en munte
  • Geloofsbriewe gestoor in pos- of FTP-kliënte, spelplatforms of VPN-profiele
  • Inligting wat in die blaaier gestoor word, wat wagwoorde en geloofsbriewe van verskeie werwe, gestoorde kredietkaarte, stawing-/sessiekoekies, outo-gevulde aanmeldings en nog baie meer kan insluit

Vaslegging van sessiekoekies kan bedreigingakteurs in staat stel om MFA te omseil, wat hulle 'n kragtige bedreiging maak. Volgens Trend Micro, inligting wat in 'n toestelblaaier gestoor is "is verreweg die voorkeurteiken vir datastelers". Sodra sy werk klaar is, versamel die infostealer al sy gesteelde inligting en plaas dit in 'n argief wat 'n log genoem word - wat kan verkoop vir meer as $100, afhangende van die kwaliteit en hoeveelheid data wat dit bevat.

Infostelers het die rondte gedoen oor die kubermisdaad ondergronds sedert ongeveer 2011. Oor die afgelope 15 of wat jaar het wanware-ontwikkelaars voortgegaan om hul aanbiedinge te verfyn en aan te pas om verskeie platforms te teiken – van Android-toestelle tot Windows-rekenaars en Facebook-sakerekeninge. Daar is verskeie maniere waarop hulle afgelewer kan word, insluitend uitvissing of smishing (SMS-uitvissing), ry-vir-aflaaie vanaf besmette webwerwe, gekraakte speletjies, versteek in toepassings wat wettig lyk, insluitend vals vergadering sagteware, Google Ads, en selfs YouTube video beskrywings.

Hulle hou 'n groeiende risiko in vir organisasies in post-pandemiese hibriede werksomgewings, waar werknemers riskante werwe op hul persoonlike toestelle kan besoek, wat dan met inligtingstelers besmet raak. As gevolg van BYOD-beleide kan sulke toestelle ook toegang tot korporatiewe hulpbronne en data hê, wat die risiko van diefstal inhou. Meer as die helfte (51%) van IT-leiers sê hulle het bewyse gesien van gekompromitteerde persoonlike toestelle wat toegang tot sensitiewe korporatiewe data verkry.

Ontduik Vang

Vandag het ontluikende kubermisdadigers en bedrieërs 'n magdom opsies om van te kies op die ondergrondse kubermisdaadmarkte. Dit sluit gewilde inligtingstelers soos RedLine, Raccoon, Vidar en Taurus in. 'n Malware-as-'n-diens-model (MaaS) het gehelp om toegang tot sulke instrumente te demokratiseer na 'n baie groter kriminele gebruikersbasis. En innovasiepogings gaan voort. Sommige markplekke bied logboekontledingdienste om bedreigingakteurs te help om data uit rou logs te onttrek vir gebruik of herverkoop.

Infostealer-ontwikkelaars doen ook baie moeite om te verseker dat hul wanware weggesteek bly vir sekuriteitsnutsgoed. Sommige, soos die Rhadamanthys-variant, werk in stelselgeheue om opsporing te ontduik. Ander, soos Raccoon, bevat veranderinge aan UserAgents en mutexes in 'n poging om aanwyser-gebaseerde opsporing te omseil, volgens een meld. 'n Nuwe weergawe van die gewilde Lumma-variant verlede jaar na vore gekom met gesofistikeerde anti-sandbox-vermoëns. Die mans en vroue agter hierdie instrumente gaan ook meer moeite doen om verborge te bly – adverteer hul ware op Telegram, Mastadon en ander webwerwe eerder as deur gesentraliseerde kriminele markte wat geneig is tot wetstoepassingsmonitering en ontwrigting.

Hoe om die bedreiging van Infostealers te versag

Wat ongetwyfeld is, is die potensieel ernstige bedreiging wat dit vir korporatiewe kuberveiligheid inhou. Afgesien van die Snowflake-rekeningoortredings, was 'n inligtingsteler wat onbewustelik op 'n werknemer se skootrekenaar afgelaai is, verantwoordelik vir 'n groot data-oortreding verlede jaar by die deurlopende integrasie- en afleweringsplatform CircleCI. Een verkoper eise dat 10 miljoen toestelle in 2023 wanware teëgekom het wat inligting steel, 'n sewevoudige toename sedert 2020.

Die goeie nuus is dat beproefde beste praktyke inligtingstelers van korporatiewe stelsels kan hou, volgens Trend Micro UK & Ireland tegniese direkteur, Bharat Mistry.

"Organisasies kan die bedreiging van inligtingstelers versag deur voorkomende maatreëls soos werknemeropleiding, sterk verifikasie en eindpuntbeskerming te implementeer," sê hy aan ISMS.online. “Gereelde sagteware-opdaterings en netwerksekuriteit is ook van kardinale belang. Opsporingstrategieë sluit in gevorderde bedreigingopsporing, gereelde sekuriteitsoudits en deurlopende monitering.”

IT-sekuriteitsleiers kan egter ook die risiko van inligtingstelers verminder deur voldoening aan beste praktykstandaarde.

"Voldoening aan standaarde soos ISO 27001 verbeter kuberveiligheidspogings aansienlik deur 'n gestruktureerde benadering tot risikobestuur te bied en omvattende sekuriteitskontroles te implementeer, wat noodsaaklik is vir robuuste beskerming," voer Mistry aan.

“Gereelde oudits verseker deurlopende waaksaamheid teen opkomende bedreigings. Werknemersopleiding en -bewustheid is noodsaaklik, wat jou personeel omskep in die eerste linie van verdediging. Boonop waarborg die standaard se streng voorvalbestuurvereistes dat enige oortredings vinnig en doeltreffend aangespreek word.”

Wanneer dit vergelyk word met potensieel lewensgevaarlike losprysware-aanvalle, klink inligtingstelers dalk nie na 'n beduidende kuberveiligheidsrisiko nie. Soos die Snowflake-voorval egter beklemtoon, speel hulle 'n toenemend belangrike rol in die kubermisdaad-ekosisteem. As 'n instaatsteller van diefstal van geloofsbriewe en MFA-omseiling, kan dit die eerste fase in 'n verwoestende data-oortreding en afpersingsaanval wees. Dit is tyd om daardie beste praktyke vir kuberveiligheid af te stof.

skrywer

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Bekyk alle plasings deur Phil Muncaster

Verwante poste

SOC 2 is hier! Versterk jou sekuriteit en bou klantevertroue met ons kragtige voldoeningsoplossing vandag!