Stap 1 - De infectie

De eerste stap in de aanval is eigenlijk nog geen onderdeel van de actieve aanval. Verspreiders van infostealer-malware proberen zoveel mogelijk apparaten te infecteren met infostealer malware. Deze malware, die op grote schaal logingegevens en session cookies steelt, zit vaak verstopt in illegale downloads of phishing mails. Het doel van deze aanvallers? Simpel: zo veel mogelijk apparaten infecteren om daar geld mee te verdienen. Hoe? Zie stap 2.

Bij het infecteren van apparaten zijn zakelijke apparaten natuurlijk het meest waardevol. Persoonlijke apparaten kunnen echter ook nuttig zijn, omdat ook op persoonlijke apparaten vaak toch wel enige zakelijke activiteit plaatsvindt. Hoe vaak komt het immers niet voor dat mensen hun persoonlijke apparaat gebruiken om in te loggen op hun zakelijke systemen? De aanval bij Uber begon bijvoorbeeld met een persoonlijk apparaat van een contractor die met infostealer-malware geïnfecteerd raakte.

Stap 2 - De verkoop

De verspreiders van de malware gaan zelden zelf over tot de aanval. Hun business model is om zoveel mogelijk apparaten te infecteren en deze vervolgens succesvol in de markt te plaatsen. Dat is dus ook precies wat er in het voorbeeld van Uber en EA Games gebeurd is.

Deze verkoop gebeurt op afgesloten marktplaatsen waar niet zomaar iedereen bij kan. Hierbij wordt de controle over het apparaat of over de specifieke sessies te koop aangeboden voor prijzen variërend van tien dollar, duizend dollar tot - heel zeldzaam - wel tienduizend dollar. Zo is in het geval van EA Games bekend geworden dat de (nog actieve) sessie van het Slack-account voor 10 dollar verkocht werd.

Eenmaal, andermaal, verkocht! De controle over het account en/of apparaat wordt nu overdragen aan een andere aanvaller. Deze aanvaller heeft in tegenstelling tot de verspreider van de malware wel als doelstelling om de gegevens te misbruiken voor een aanval.

Stap 3 - De vermomming

Infostealer malware geeft hackers eigenlijk een soort vermomming waardoor ze door de voordeur bij organisaties naar binnen kunnen. Dit komt omdat door de nog actieve sessie de aanvaller kan inloggen op de interne systemen van de organisatie als zijnde de medewerker.

Bij Uber was de sessie blijkbaar niet meer geldig of niet aanwezig en moest de aanvaller het doen met alleen gebruikersnaam en wachtwoord. De aanvaller gebruikte deze gegevens voor een MFA Fatigue aanval, waarbij een stukje misleiding werd toegepast: het slachtoffer kreeg een tekstbericht, waarbij de aanvaller pretendeerde Uber IT te zijn: “We zien in onze systemen veel inlogpogingen. Om die te laten stoppen moet je even één van die verzoeken accepteren.” Zo kreeg de aanvaller toegang tot onder meer Google Workspace en Slack.

Bij EA Games was er wel sprake een actieve sessie, waardoor de aanvaller direct kon inloggen op Slack als zijnde de medewerker. Een ideale vermomming, zo bleek. Vanuit die hoedanigheid nam de hacker contact op met IT Support van EA: “Ik ben mijn telefoon verloren op een feestje gisteravond”. Een nieuwe MFA token werd aangemaakt voor het interne netwerk van EA, waardoor de aanvaller zijn weg kon vervolgen.

Stap 4 - En door

Eenmaal binnen in de interne systemen van een organisatie kan een aanvaller verder. Bij EA Games is er circa 750 GB aan bestanden gestolen waaronder de broncode van verschillende games. Bij Uber is de schade volgens het Volgens het Britse Openbaar Ministerie zeker 3 miljoen dollar. Wat een aanvaller precies wil doen - ransomware of spyware installeren, bestanden stellen - verschilt per aanvaller. Het feit is dat ze op dit punt in de aanval binnen zijn en organisaties daardoor kwetsbaar zijn.

De conclusie is duidelijk: infostealers vormen een vernuftige dreiging. Ook in Nederland hebben ze bij meerdere grote organisaties al flink toegeslagen. Wil je meer weten over hoe wij deze aanvallen in een vroeg stadium detecteren? Lees hier verder.