Australisch cyberagentschap waarschuwt voor opkomende 'infostealer'-malware

Het Australian Cyber Security Centre heeft een waarschuwing uitgebracht over opkomende infostealer-malware. Deze malware, die zich richt op het stelen van inloggegevens en andere gevoelige informatie, vormt volgens het agentschap een toenemend risico voor organisaties.

Infostealermalware kan zich verspreiden via diverse kanalen, waaronder phishingmails en illegale softwarebronnen. Eenmaal geïnstalleerd, kan de malware een scala aan gegevens bemachtigen, van wachtwoorden tot creditcardgegevens en cryptowallets. Het ACSC waarschuwt dat infostealermalware ook gebruikt kan worden voor grootschalige ransomwareaanvallen op bedrijfsnetwerken. Om dit tegen te gaan, wordt organisaties geadviseerd om onder meer multifactorauthenticatie te implementeren, regelmatig securitytrainingen aan te bieden en het gebruik van persoonlijke wachtwoordmanagers voor zakelijke inloggegevens te ontmoedigen.

Door Andrei Stiru

Redacteur

Feedback • 03-09-2024 08:35 36

03-09-2024 • 08:35

36

Lees meer

Australië verbiedt sociale media voor jongeren onder de zestien jaar
Australië verbiedt sociale media voor jongeren onder de zestien jaar Nieuws van 28 november 2024
PXA-infostealer steelt opgeslagen browsergegevens door masterkey te ontcijferen
PXA-infostealer steelt opgeslagen browsergegevens door masterkey te ontcijferen Nieuws van 15 november 2024
Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline
Nederlandse politie haalt samen met FBI Redline- en Meta-infostealers offline Nieuws van 28 oktober 2024
Cybercriminelen stalen mogelijk gegevens werknemers en patenten Casio
Cybercriminelen stalen mogelijk gegevens werknemers en patenten Casio Nieuws van 11 oktober 2024
Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store
Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store Nieuws van 24 september 2024
Nieuwe Mirai-variant infecteert verouderde IP-camera's
Nieuwe Mirai-variant infecteert verouderde IP-camera's Nieuws van 3 september 2024
Meta blokkeert Iraanse hackersgroepering die actief was op WhatsApp
Meta blokkeert Iraanse hackersgroepering die actief was op WhatsApp Nieuws van 25 augustus 2024
YouTube krijgt tool voor terugkrijgen toegang tot gehackt account
YouTube krijgt tool voor terugkrijgen toegang tot gehackt account Nieuws van 22 augustus 2024
Toyota bevestigt cyberaanval waarbij 240GB aan data is buitgemaakt
Toyota bevestigt cyberaanval waarbij 240GB aan data is buitgemaakt Nieuws van 20 augustus 2024
FBI: Iran voerde cyberoperaties uit om verkiezingen VS te beïnvloeden
FBI: Iran voerde cyberoperaties uit om verkiezingen VS te beïnvloeden Nieuws van 20 augustus 2024
OpenAI sluit Iraanse ChatGPT-accounts die verkiezingen VS zouden beïnvloeden
OpenAI sluit Iraanse ChatGPT-accounts die verkiezingen VS zouden beïnvloeden Nieuws van 18 augustus 2024
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline
Politiediensten halen servers en domeinnamen van Radar-ransomwaregroep offline Nieuws van 13 augustus 2024
Nederlandse onderzoekers vinden bluetoothkwetsbaarheden in drie EV-laders
Nederlandse onderzoekers vinden bluetoothkwetsbaarheden in drie EV-laders Nieuws van 9 augustus 2024
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023
Britse politie arresteert 17-jarige wegens ransomwareaanval MGM-casino's in 2023 Nieuws van 22 juli 2024
Meer producten en artikelen
Beveiliging en antivirus Australië Cybercrime Datalek Ransomware

Reacties (36)

-Moderatie-faq
36
36
16
1
0
17
Wijzig sortering
Tha Render_2 3 september 2024 09:26
Dit is al jaren een groot probleem en uit eigen praktijkervaring kan ik stellen dat veel van de cyberincidenten als oorzaak een infostealer hebben. Zelfs in ons eigen sterk beveiligd corporate netwerk is dit al voorgevallen, zonder dat we van iets wisten.

We neuzen vaak op het darkweb naar credentials van onze omgeving en vorig jaar was er een hit, lang verhaal kort, bleek een corporate laptop te zijn waar een infostealer malware op gestaan had. Maar we hebben Cortex XDR? Ja, en die had effectief een detectie gedaan op die laptop + meteen quarantine van de malware, maar dat heeft de malware niet weerhouden om op een split second alle opgeslagen credentials naar het dark web te sturen, had minder dan een seconde nodig, terwijl de EDR agent iets meer dan een seconde nodig had om het proces te killen en te quarantinen.
Saph 3 september 2024 09:22
Dit is een dreiging wat al jaren speelt. Ik mis in dit artikel waarom dit specifiek nu een grotere dreiging vormt.
Marctraider 3 september 2024 10:42
Dit soort exploits zijn hier al lang neutered door mijn local security policy. Uitgaand verbindingen niet zomaar toegestaan. Zelfs een rogue firewall rule wordt direct verwijderd bij aanmaak, al zou dit mechanisme niet werken is een firewall rule creëren alleen niet genoeg om bv. door m'n router te komen.

Malware stuurt niks terug en kan hooguit lokaal draaien en lokaal evt. dingen beschadigen. Ook daar zijn contingencies in place.

Hoe veel veiliger je je systemen kan maken als Tweaker zonder afhankelijk te zijn van updates en automated protections (ie. defender) ;)

En hoeveel systemen al zoveel veiliger zouden zijn als niet zomaar alle meuk door de firewall heen zou mogen. Helaas is dit geen standard policy voor de meeste consumenten, en ben bang voor veel bedrijven die hun security niet op orde hebben.

[Reactie gewijzigd door Marctraider op 3 september 2024 12:43]

wooha @Marctraider3 september 2024 14:05
Voor servers snap ik dat. Maar desktops zijn veel gevarieerder in waar de gebruikers toegang toe willen hebben. Hoe beheer je dat dan?
Marctraider @wooha3 september 2024 18:45
Combinatie van context menu's en scripts.

Je blokkeert bij default alles uitgaand, je laat alleen core networking door (ICMP, DCHP, DNS). Daarna ga je per applicatie (TCP/UDP) alles doorlaten als volgt:

Windows context menu op executable toepassen:

- Eerst exploit mitigation, past windows exploit mitigation (security/performance) toe, vervolgens een DSCP mark.
- Daarna kan ik pas via dezelfde weg een firewall rule toepassen als aan de voorwaarden boven is voldaan, anders een error.

DSCP zorgt voor een extra beveiligingslaag, als deze niet is toegepast zullen de pakketen wel de firewall doorgaan maar niet door mijn openwrt firewall. (Ik wil voor bv. mijn browser high security, maar op globaal niveau heb ik alles standaard uit)

Scripts op de achtergrond doen de rest. Geen third party tools benodigd, alles ingebouwd in Windows.

Daarnaast voor het gemak firewall auditing voor event viewer aangezet zodat je makkelijk kan zien wat je er door moet laten :)

Tja voor security zal je iets van gemak moeten inleveren. Denk dat weinig mensen een extra beveiligingslaag dmv. extra info aan packets toevoegd.

[Reactie gewijzigd door Marctraider op 3 september 2024 18:49]

wooha @Marctraider5 september 2024 19:40
Duidelijk verhaal. Ik ging uit van een discrete firewall, maar had niet gedacht aan de uitgaande applicatie firewall in het OS zelf.

Het klinkt als een goede afweging tussen security en gemak/gedoe, al zal dat per persoon verschillen.

De DSCP mark als firewall filter criterium vind ik creatief. Dat helpt zelfs tegen een kernel compromise, al is het een soort security by obscurity.

De grootste resterende risico's lijken me een succesvolle exploit van de browser, die de verzamelde data verstuurt vanuit de browser zelf en een exploit die data via de openstaande DNS of ICMP verstuurt.
Scriptkid @Marctraider3 september 2024 18:10
Dus jij blocked alle dns querys ?
PdeBie 3 september 2024 08:46
en het gebruik van persoonlijke wachtwoordmanagers voor zakelijke inloggegevens te ontmoedigen.
Dat verwoorden ze dan verkeerd en hadden ze beter kunnen zeggen “het gebruik van zakelijke PW managers aanmoedigen”.
DigitalExorcist @PdeBie3 september 2024 08:47
Maar dan nog: ook het gebruik en kennis rondom het gebruik van een passwordmanager moet bekend zijn. Als jij denkt op één of andere malafide site met je in je zakelijke pw-manager opgeslagen wachtwoorden moet gaan inloggen ben je alsnog de pineut.

Een passwordmanager is een middel. Geen doel op zich. Het doel moet 'awareness' zijn.
PdeBie @DigitalExorcist3 september 2024 08:49
Inderdaad. Het is een kluis, meer niet.
DigitalExorcist @PdeBie3 september 2024 08:52
Cyber-technisch gezien kun je beter je wachtwoorden op papier schrijven en in een laatje bewaren dan digitaal opslaan. De kans dat de hele wéreld op een gegeven moment bij je digitaal opgeslagen passwords kan is een stuk groter dan dat iemand fysiek inbreekt en specifiek op zoek is naar je wachtwoorden..

Wachtwoorden op papier opslaan is uiteraard ook een slechte keus, maar qua _online veiligheid_ wel een stuk beter ;)
PageFault @DigitalExorcist3 september 2024 08:59
De helft van elk wachtwoord op papier en de andere helft in de digitale kluis? ;)
airell @PageFault3 september 2024 09:04
Dus two factor authentication...
MarcMK2 @airell3 september 2024 09:15
Als we gaan azijnzeiken eigenlijk niet.
beide factoren is iets wat je weet. De ene helft staat op papier en de andere helft als electronen/magnetisme. samen vormt dit het wachtwoord.
Een 2de factor moet dan iets zijn dat je bent of wat je hebt
PageFault @MarcMK23 september 2024 09:27
Klopt absoluut, alleen het digitale deel is hackbaar op afstand en het papieren deel alleen hackbaar op locatie. Dat maakt het wachtwoord concept wat veiliger.

Als je daarna nog het "zijn" of "hebben" meeneemt, zit je wel redelijk secure denk ik.
haam @PageFault3 september 2024 18:37
Bij keepass heb je (zover ik me herinner) een functie die een deel van het wachtwoord typt en een deel copy/paste. Daardoor wordt het extra lastig om wachtwoorden te stelen.

Maar uiteraard is geen enkele optie waterdicht
PageFault @haam3 september 2024 21:14
Ow wist ik niet, wel handige functie :)
JAVE @MarcMK23 september 2024 09:28
Als een wachtwoord op papier staat/op de computer is opgeslagen is het 'iets wat je hebt', niet 'iets wat je weet' ;)
3raser @PageFault3 september 2024 09:10
Of 2 digitale kluizen bij verschillende providers met verschillende hoofdwachtwoorden. Leg dat nog maar eens uit aan oma. ;)
wiemelen @PageFault3 september 2024 09:39
Ik sla mijn paswoorden wel op in een digitale kluis, maar de paswoorden daar heb ik nog eens overgoten met een eigen logica. De kluis dient dus eigenlijk maar als backup in geval ik een paswoord vergeet.

Nadeel is wel dat ik de paswoorden niet automatisch kan laten vullen bij inloggen. Maar dat vind ik niet zo erg.
In tegenstelling tot mijn collega's die sinds kort bijna allemaal zo'n kluis gebruiken omdat de paswoord lengte van enkele applicaties van 8 naar min. 15 karakters was gegaan. "Groot drama", dus iedereen wilde ineens gebruik maken van zo'n kluis inclusief automatisch vullen. Vond ik allemaal wel grappig gezien al heel lang een paswoord rond de 20 karakters gebruik. Ik was dan ook de enige die zijn paswoord niet moest wijzigen op alle omgevingen 🙂
DigitalExorcist @PageFault3 september 2024 09:04
Hmm da's wel een idee ja!
Caayn @PdeBie3 september 2024 08:49
Dat is ook wat het agentschap aanraad, om voor zakelijke activiteiten een password manager te gebruiken die vanuit de werkgever wordt geleverd.
Advice for your employees when working remotely
- Do not store your work credentials in a personal password manager unless explicitly approved by your employer. This includes your web browser’s password manager. If in doubt, request that your employer provide a corporately supported password manager.
PdeBie @Caayn3 september 2024 08:49
Ah, dan is het door Tweakers te kort door de bocht opgeschreven.
pbk @PdeBie3 september 2024 10:13
Maar wat Tweakers vermeldt staat wel gewoon bij de adviezen :

- Do not store your work credentials in a personal password manager unless explicitly approved by your employer
Alxndr @PdeBie3 september 2024 08:51
Ik zou liever zien dat ze gewoon uitleggen waarom... Wat is het risico van een persoonlijke wachtwoordmanager?
beerse @Alxndr3 september 2024 09:54
Er zit geheel geen risoco aan een persoonlijke wachtwoord manager.... voor persoonlijk gebruik.

Voor zakelijk gebruik moet je een zakelijke wachtwoord manager gebruiken. Daarmee hou je een scheiding van werelden. Daarbij voorziet een zakelijke omgeving vaak van zakelijke systemen al dan niet zakelijk beheerd. Zo zijn er ook wachtwoord kluizen voor zakelijk gebruik die zakelijk beheerd kunnen worden.

Er zijn genoeg wachtwoord kluizen waarbij de gebruiker met zijn eigen account een privé deel krijgt en op baiss van groep-lidmaatschap ook toegang krijgt tot centraal opgeslagen wachtwoorden. Echt mooie systemen werken ook nog met single-sign-on of passkeys of zo.

Met daarbij als toegevoegde waarde dat als de werknemer uit dienst gaat, die ook niet meer bij de wachtwoord kluis kan komen.
Alxndr @beerse3 september 2024 10:11
Misschien heb ik nog niet genoeg koffie gehad, maar je uitleg maakt me niets wijzer.

Wat is nu precies het probleem met een persoonlijke wachtwoord manager zakelijk gebruiken? Zit er een fundamenteel verschil tussen hoe ze werken?

Als je uit dienst gaat moeten je accounts sowieso geblokkeerd/verwijderd worden. Of en waar er dan nog kopieën van je (verlopen/ongeldige/geblokkeerde) wachtwoorden zijn...
beerse @Alxndr3 september 2024 10:15
Bedenk dat een zakelijke kluis ook de lokale beheer wachtwoorden kan bevatten. Zoals root of administrator. Die wil je wel regelmatig van een nieuw wachtwoord voorzien en de wachtwoorden daarvan ook centraal bijhouden. Door zakelijk voor een compleet systeem te kiezen waarbij werknemers hun eigen accounts in een eigen kluis zetten en op basis van groepslidmaatschap dan in 1 keer door kunnen hoppen naar de centrale kluis (of kluizen) kan iedereen daar netjes gebruik van maken.
BoerBart @Alxndr3 september 2024 08:54
An sich is er geen verschil tussen een persoonlijke of een zakelijke wachtwoordmanager, daar het één wellicht in de cloud draait bij de leverancier, en de zakelijke binnen het bedrijf zelf. Het lijkt mij (vooral) te zitten in de manier hoe het gebruikt wordt, de persoonlijke manager zul je op je prive telefoon hebben staan, op je prive computer etc., waardoor de kans dat een kwaadwillend persoon er toegang tot krijgt, toeneemt. De zakelijke wachtwoordmanager kan alleen beschikbaar zijn op de apparatuur geleverd door de werkgever, waar de werkgever directe controle over heeft, en dus op die manier makkelijker risico's kan mitigeren.

[Reactie gewijzigd door BoerBart op 3 september 2024 08:55]

PdeBie @Alxndr3 september 2024 08:53
Dat staat er dan weer niet bij, maar verder is de kop van het stuk met adviezen ook: Advice for your employees when working remotely

Nee, niet alleen wanneer ze remote werken, ook op de zaak!
SunnieNL @PdeBie3 september 2024 09:07
Zie dat maar eens te splitsen op een BYOD :)
2 kluizen installeren en beheren en zorgen dat de juiste kluis de juiste gegevens invult op de pagina waar je komt. Ik wens je succes.
Enige voordeel wat je er aan kan hebben is dat als je zakelijke kluis wordt gekraakt je niet al je persoonlijke wachtwoorden hoeft te wijzigen :)

Dit advies gaat dan alleen werken op laptops van de zaak waar je geen privé zaken op mag doen.

[Reactie gewijzigd door SunnieNL op 3 september 2024 09:07]

Rembert @SunnieNL3 september 2024 09:26
Twee of meer kluizen op bv Bitwarden gaat technisch prima. Maar het toevoegen van wachtwoorden moet erg zorgvuldig gebeuren, zo’n wachtwoord staat zo in de verkeerde kluis - heel fijn als je die deelt met co-workers, not.

Maar het blijft beter dan het “voor als je onder de bus komt”-documentje op een gedeelde google drive met daarin alle root-wachtwoorden.
SunnieNL @Rembert3 september 2024 09:30
Een shared kluis met wachtwoorden?
Dat is hetzelfdfe als dat iedereen werkt onder hetzelfde account toch?
En waar iedereen dezelfde rechten heeft in de diensten die je gebruikt...

Ik weet niet wat erger is.. je zakelijke wachtwoorden opslaan in je persoonlijke wachtwoord kluis of een shared wachtwoordkluis voor alle co-workers hebben.
beerse @SunnieNL3 september 2024 10:09
Het is beter dat iedereen altijd met zijn/haar eigen account werkt. Dat die accounts op de juiste momenten de juiste rechten hebben, ook al is dat gewoon altijd admin/root rechten.

Maar de wachwoorden van het root account of het lokale administrator account van alle systemen zou toch ergens vastgelegd moeten worden. Dan is het mooi dat die gegevens in een centrale wachtwoord kluis staan en dat de bevoegde gebruikers daar dan ook bij kunnen.

Helemaal mooi als de wachtwoorden van die lokale beheer accounts ook regelmatig worden aangepast en in de centrale kluis worden bijgewerkt en bijgehouden.
Rembert @SunnieNL5 september 2024 12:54
Ja, wanneer je de sleutel tot die kluis gaat delen wel. Maar daar zit 'm de crux. Eenieder moet beschikken over een eigen sleutel tot de gedeelde kluis, net zoals je sleutels hebt tot je eigen kluis of zelfs kluizen.

Heel versimpeld: data in een kluis wordt gecrypt met jouw publieke sleutel. Met jouw geheime sleutel kun je die data dan weer decrypten. In een kluis met meerdere gebruikers moet die data meermalen gecrypt worden, met de publieke sleutel van iedere individuele gebruiker. Elke gebruiker kan dan met zijn/haar geheime sleutel die data benaderen.

Dit principe wordt ook wel key escrow genoemd. Key escrow komen we ook wel eens tegen in de discussies over het aftappen van end-to-end gecrypte verbindingen, bv. WhatsApp. Door elk bericht op WhatsApp ook te crypten met de publieke sleutel van een toezichthouder, kan deze toezichthouder een tap zetten op de end-to-end beveiligde verbinding én de data ook decrypten. Ook in Nederland is dit mechanisme in het verleden voorgesteld (maar niet geïmplementeerd). De discussie hierover is nog lang niet ten einde, zeker niet nu Telegram zo in het nieuws is.

Zo'n key-escrow maakt end-to-end encryptie in bv. WhatsApp-groepen best een uitdaging: er moet dan heel veel worden gecrypt. Maar daar zijn ook best oplossingen voor te vinden.
SunnieNL @Rembert5 september 2024 13:02
Uiteindelijk gaat het ook niet om die gedeelde kluis. Het gaat om het feit van gedeelde accounts in die kluis.(wat jij beschrijft is een gedeelde kluis met persoonlijke unique accounts en dat is wat anders). Gedeelde accounts is security technisch gezien al not done, omdat je dan totaal geen audit kan doen. Je kan alleen zien wie er in de kluis is geweest en credentiels heeft opgevraagd. Maar je kan dan nooit zien wie de persoon is geweest die uiteindelijk met die credentials is ingelogd, want dat kan iedereen van de co-workers zijn geweest en dus is je hele audit naar de klote.
Shared credentials in welke manier dan ook zijn not done. De enige shared credential die er zou mogen zijn is een break-glass credential die heel, heel ver weg ligt.

Iets anders is natuurlijk een tool die on the fly credentials roteerd (elke dag/uur) of eentje die on-the-fly credentials voor jouw maakt. Dan wordt het makkelijker credentials aan een persoon te koppelen. Maar dat doet een password manager normaal gesproken niet en dan hebben we het meer over een PAM oplossing.

[Reactie gewijzigd door SunnieNL op 5 september 2024 13:03]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq