Infostealers een nieuwe bedreiging

Lumma stealer en Vidar zijn recent op de voorgrond getreden als grote nieuwe dreiging in de wereld van cyberdreigingen. Waar Lumma stealer een jaar geleden voornamelijk werd ingezet om cryptowallets te plunderen, heeft de malware zich inmiddels ontwikkeld tot een geavanceerde tool voor het stelen van wachtwoorden. De impact is dan ook veel breder geworden: de malware richt zich nu niet alleen op digitale portemonnees, maar steelt ook inloggegevens, wachtwoordbestanden en andere vertrouwelijke informatie. Dit werd onlangs pijnlijk duidelijk toen de Technische Universiteit Eindhoven tijdelijk lessen moest stopzetten na een security-incident waarbij Lumma stealer vermoedelijk betrokken was. Ook een grote Europese dienstverlener ondervond recent aanzienlijke schade door een variant van deze malware, wat aangeeft dat de dreiging niet slechts een theoretisch risico is, maar een feitelijke bedreiging.

De toename van digitale platformen en diensten binnen organisaties vergroot hun kwetsbaarheid voor snel veranderende aanvallen. Lumma stealer wordt bijvoorbeeld vaak verspreid via ogenschijnlijk onschuldige links, zoals "verify you’re human" tijdens het spelen van online games of via TikTok-video's die extra knoppen aanbieden voor "meer vergelijkbare content". In werkelijkheid installeren gebruikers daarmee schadelijke code, die zich vaak pas verraadt na het uitvoeren van een PowerShell-commando. De combinatie van alledaagse online activiteiten en onzichtbare malware maakt het moeilijk voor veel organisaties om de dreiging op tijd te onderkennen.

De impact van deze aanvallen is aanzienlijk, aangezien de focus van nieuwe varianten is verschoven van financiële schade naar het verzamelen van zoveel mogelijk inloggegevens. De gestolen data opent de deur naar verdere compromittering, zoals het overnemen van accounts en het binnendringen van bedrijfsnetwerken. Criminelen kunnen zich voordoen als legitieme gebruikers of systeembeheerders, wat leidt tot ransomware-aanvallen, datalekken en andere vormen van cybercriminaliteit die de werking van een organisatie ernstig verstoren.

Een andere zorgwekkende ontwikkeling is de toepassing van de zogenaamde Living off the Land (LoTL)-technieken door Lumma stealer en Vidar. Hierbij wordt malware niet als een zichtbaar programma op de computer geïnstalleerd, maar draait deze direct in het werkgeheugen (RAM). Dit maakt het extreem moeilijk voor traditionele antivirusoplossingen om de dreiging te detecteren, aangezien deze vaak gericht zijn op lokaal geïnstalleerde bestanden of processen. In plaats daarvan maakt de malware gebruik van legitieme Windows-tools, zoals PowerShell, om zichzelf te verbergen. Hierdoor wordt het vaak pas zichtbaar wanneer verdachte PowerShell-commando’s worden uitgevoerd, en zelfs dan kan de malware al actief zijn.

Dit verhoogt de kans dat aanvallen ongemerkt blijven, terwijl de malware ondertussen wachtwoorden, cookies en sessietokens steelt. Beveiligingsprofessionals raden aan om getroffen systemen onmiddellijk uit het netwerk te verwijderen of zelfs uit te schakelen, maar het is vaak te laat, omdat de malware zich snel in het RAM-geheugen verspreidt. Bovendien kunnen de aanvallen in hoog tempo veranderen. Wat vandaag wordt ontdekt, kan morgen alweer achterhaald zijn, omdat voortdurend nieuwe varianten worden uitgebracht met methoden die beveiligingsmaatregelen ontwijken.

De verscheidenheid en snelheid van deze aanvallen toont aan dat de traditionele benadering van IT-beveiliging niet meer toereikend is. Antivirussoftware of het gebruik van sterke wachtwoorden biedt geen garantie tegen de geavanceerde technieken van cybercriminelen. Malware zoals Lumma stealer kan eenvoudig toegang krijgen tot systematische gegevens door gebruik te maken van ingebouwde systeemtools en snel andere systemen binnen een netwerk te compromitteren.

Met de opkomst van deze dreigingen is de beveiliging van wachtwoorden belangrijker dan ooit. Hoewel veel gebruikers nog steeds inloggegevens lokaal in de browser bewaren, zijn deze een makkelijk doelwit voor malware zoals Lumma en Vidar. Een alternatief concept, zoals MindYourPass, genereert wachtwoorden dynamisch, wat de kans op hergebruik verkleint en geen centrale database biedt die hackers kunnen aanvallen. Toch kunnen infostealers ook inloggegevens direct verzamelen via keyloggers, waardoor traditionele wachtwoordbeveiligingsmethoden niet voldoende zijn.

Naast betere wachtwoordpraktijken moeten organisaties ook nadenken over netwerkbeveiliging en extra lagen van bescherming, zoals Zero Trust. Zero Trust houdt in dat geen enkele verbinding of gebruiker, zelfs binnen het eigen netwerk, automatisch wordt vertrouwd. Alle toegang wordt strikt gecontroleerd op basis van rollen en rechten, en afwijkend gedrag wordt onmiddellijk onderzocht. Dit vereist niet alleen technologische maatregelen, zoals het gebruik van Endpoint Detection and Response (EDR) of Extended Detection and Response (XDR), maar ook bewustzijn en training van medewerkers om verdachte activiteiten tijdig te melden.

Wachtwoordbeheer blijft belangrijk, maar met de geavanceerde dreigingen van vandaag is het van cruciaal belang om verder te kijken dan alleen sterk wachtwoordbeheer. Het beperken van netwerktoegang, het toepassen van strikte toegangsregels, en het gebruik van browserisolatie en geavanceerde detectiesystemen dragen bij aan een bredere verdedigingsstrategie tegen moderne cyberdreigingen zoals Lumma stealer en Vidar.

Voor de toekomst moet de rol van NIS2, de Europese richtlijn voor netwerk- en informatiebeveiliging, beter worden afgestemd op deze opkomende bedreigingen. Organisaties die onder NIS2 vallen, moeten proactief blijven en niet afwachten tot de richtlijn volledig is geïmplementeerd, aangezien de dreigingen al actueel zijn en zich snel ontwikkelen.

In de strijd tegen deze cyberdreigingen is een holistische aanpak noodzakelijk. Dit betekent dat naast technologische maatregelen ook cultuurverandering, training en samenwerking met externe beveiligingsspecialisten essentieel zijn. Organisaties moeten zich bewust zijn van de constante evolutie van cyberdreigingen en altijd alert blijven op nieuwe aanvalsmethoden en technieken.