Was sind Infostealer und warum sollte sich mein Unternehmen Sorgen machen?

Was sind Infostealer und warum sollte mein Unternehmen besorgt sein?

Von Phil Muncaster • 6 August 2024

Im Juni dieses Jahres wurde eine Massenerpressungskampagne gegen Kunden des Daten-Cloud-Spezialisten Snowflake aufgedeckt. Laut BerichteOpfern wurde mit der Offenlegung ihrer Daten gedroht, wenn sie kein Lösegeld von bis zu 5 Millionen Dollar zahlen würden. Den Angreifern gelang es, über 500 Millionen Ticketmaster-Datensätze und 30 Millionen von Santander-Kunden zu kompromittieren. Von den mehr als 160 Firmen, die bei der Datendiebstahl-Kampagne erwischt wurden, werden noch viele weitere Opfer auftauchen.

Anbieter von Threat Intelligence Mandiant, das den Vorfall untersucht, behauptet, dass die Angreifer dieses Chaos mit entwaffnend einfachen Taktiken verursacht haben. Sie nutzten die Snowflake-Anmeldedaten von Kunden, die sie durch Infostealer-Malware erhalten hatten, und nutzten dann das Fehlen einer Multifaktor-Authentifizierung (MFA) aus, um durch eine offene Tür zu gelangen. Das ist Grund genug, sicherzustellen, dass Ihre Cyberabwehr einem Info-Diebstahl-Angriff standhalten kann.

Was sind Infostealer?

Infostealer sind eine immer häufiger auftretende Klasse von Malware, die, wie der Name schon sagt, darauf ausgelegt ist, vertrauliche Informationen vom Computer oder Mobilgerät eines Opfers zu extrahieren. Diese Daten werden entweder direkt von denselben Bedrohungsakteuren verwendet oder, was wahrscheinlicher ist, in der Cybercrime-Welt verkauft, um sie für weitere Identitätsbetrügereien und Cyberangriffe wie die Kampagne gegen Snowflake-Kunden zu verwenden.

Die Schadsoftware sucht möglicherweise nach Informationen wie:

Auf dem Endgerät gespeicherte Dateien
Datenströme von Instant-Messaging-Apps wie Telegram
In Krypto-Wallets enthaltene Vermögenswerte wie NFTs und Coins
In Mail- oder FTP-Clients, Spieleplattformen oder VPN-Profilen gespeicherte Anmeldeinformationen
Im Browser gespeicherte Informationen, darunter Passwörter und Anmeldeinformationen von mehreren Websites, gespeicherte Kreditkarten, Authentifizierungs-/Sitzungscookies, automatisch ausgefüllte Anmeldedaten und vieles mehr

Das Erfassen von Session-Cookies könnte es Angreifern ermöglichen, MFA zu umgehen, was sie zu einer potenziellen Bedrohung macht. Laut Trend Micro, Informationen, die im Browser eines Geräts gespeichert sind, „sind bei weitem das bevorzugte Ziel von Datendieben“. Sobald seine Arbeit getan ist, sammelt der Infostealer alle gestohlenen Informationen und legt sie in einem Archiv ab, das als Protokoll bezeichnet wird – das könnte verkauft werden für über 100 US-Dollar, abhängig von der Qualität und Quantität der enthaltenen Daten.

Infostealer sind seit etwa 2011 im Untergrund der Cyberkriminalität unterwegs. In den letzten 15 Jahren haben Malware-Entwickler ihre Angebote immer weiter verfeinert und angepasst, um verschiedene Plattformen anzugreifen – von Android-Geräten über Windows-PCs bis hin zu Facebook-Geschäftskonten. Es gibt mehrere Möglichkeiten, wie sie verbreitet werden können, darunter Phishing oder Smishing (SMS-Phishing), Drive-by-Downloads von infizierten Websites, geknackte Spiele, versteckt in legitim aussehenden Anwendungen, darunter gefälschte Meeting-Software, Google Ads und sogar YouTube Videobeschreibungen.

Sie stellen ein wachsendes Risiko für Organisationen in hybriden Arbeitsumgebungen nach der Pandemie dar, in denen Mitarbeiter riskante Websites auf ihren persönlichen Geräten besuchen können, die dann mit Infostealern infiziert werden. Aufgrund von BYOD-Richtlinien können solche Geräte auch Zugriff auf Unternehmensressourcen und -daten haben, wodurch diese einem Diebstahlrisiko ausgesetzt sind. Über die Hälfte (51 %) der IT-Führungskräfte sagen Sie haben Beweise dafür gesehen, dass kompromittierte private Geräte auf vertrauliche Unternehmensdaten zugegriffen haben.

Gefangennahme vermeiden

Heute haben angehende Cyberkriminelle und Betrüger auf den Untergrundmärkten der Cyberkriminalität eine Fülle von Optionen zur Auswahl. Dazu gehören beliebte Infostealer wie RedLine, Raccoon, Vidar und Taurus. Ein Malware-as-a-Service-Modell (MaaS) hat dazu beigetragen, den Zugang zu solchen Tools einer viel breiteren kriminellen Nutzerbasis zu ermöglichen. Und die Innovationsbemühungen gehen weiter. Einige Marktplätze bieten Log-Parsing-Dienste an, die Bedrohungsakteuren helfen, Daten aus Rohprotokollen zur Verwendung oder zum Weiterverkauf zu extrahieren.

Die Entwickler von Infostealern unternehmen außerdem große Anstrengungen, um sicherzustellen, dass ihre Malware vor Sicherheitstools verborgen bleibt. Einige, wie die Rhadamanthys-Variante, arbeiten im Systemspeicher, um der Erkennung zu entgehen. Andere, wie Raccoon, weisen Änderungen an UserAgents und Mutexen auf, um die indikatorbasierte Erkennung zu umgehen, so ein berichten. Eine neue Version der beliebten Lumma-Variante entstand im letzten Jahr mit ausgefeilten Anti-Sandbox-Funktionen. Die Männer und Frauen hinter diesen Tools unternehmen auch größere Anstrengungen, um verborgen zu bleiben – sie bewerben ihre Waren auf Telegram, Mastadon und anderen Websites statt über zentralisierte kriminelle Marktplätze, die anfällig für Überwachung und Störungen durch die Strafverfolgungsbehörden sind.

So verringern Sie die Bedrohung durch Infostealer

Zweifellos besteht ein potenziell ernstes Risiko, das sie für die Cybersicherheit von Unternehmen darstellen. Neben den Verstößen gegen das Snowflake-Konto war ein unabsichtlich auf den Laptop eines Mitarbeiters heruntergeladener Infostealer verantwortlich. für einen schwerwiegenden Datenschutzverstoß bei der Continuous Integration- und Delivery-Plattform CircleCI im letzten Jahr. Ein Anbieter aus aller Welt dass im Jahr 10 2023 Millionen Geräte mit Malware infiziert waren, die Informationen stiehlt – eine Versiebenfachung seit 2020.

Die gute Nachricht ist, dass sich Infostealer mithilfe bewährter Best Practices von Unternehmenssystemen fernhalten lassen, so Bharat Mistry, Technischer Direktor bei Trend Micro UK & Irland.

„Unternehmen können die Bedrohung durch Infostealer durch vorbeugende Maßnahmen wie Mitarbeiterschulungen, starke Authentifizierung und Endgeräteschutz eindämmen“, sagt er gegenüber ISMS.online. „Regelmäßige Software-Updates und Netzwerksicherheit sind ebenfalls von entscheidender Bedeutung. Zu den Erkennungsstrategien gehören erweiterte Bedrohungserkennung, regelmäßige Sicherheitsüberprüfungen und kontinuierliche Überwachung.“

Allerdings können Verantwortliche für IT-Sicherheit das Risiko durch Infostealer auch durch die Einhaltung von Best-Practice-Standards mindern.

„Die Einhaltung von Standards wie ISO 27001 verbessert die Cybersicherheitsbemühungen erheblich, indem sie einen strukturierten Ansatz für das Risikomanagement bietet und umfassende Sicherheitskontrollen implementiert, die für einen robusten Schutz unerlässlich sind“, argumentiert Mistry.

„Regelmäßige Audits sorgen für kontinuierliche Wachsamkeit gegenüber neu auftretenden Bedrohungen. Schulung und Sensibilisierung der Mitarbeiter sind von entscheidender Bedeutung und machen Ihre Mitarbeiter zur ersten Verteidigungslinie. Darüber hinaus garantieren die strengen Anforderungen des Standards an das Vorfallmanagement, dass Verstöße schnell und effektiv behoben werden.“

Im Vergleich zu potenziell lebensbedrohlichen Ransomware-Angriffen scheinen Infostealer kein großes Cybersicherheitsrisiko darzustellen. Wie der Snowflake-Vorfall jedoch zeigt, spielen sie im Cybercrime-Ökosystem eine immer wichtigere Rolle. Da sie den Diebstahl von Anmeldeinformationen und die Umgehung von MFA ermöglichen, könnten sie die erste Stufe eines verheerenden Datendiebstahls und Erpressungsangriffs sein. Es ist an der Zeit, diese Best Practices für Cybersicherheit auf den Prüfstand zu stellen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster