Tom Leijte waarschuwt: infostealers komen binnen via privé-apparaten

“Steeds meer organisaties treffen de cybersecurity maatregelen die ze moeten treffen om hun netwerken veilig te houden en phishing te voorkomen. Hierdoor loopt het rendement van cybercriminelen terug en moeten zij op zoek naar nieuwe ingangen. Daarmee komt dit risico eigenlijk op als een bestaande opening die nog niet is dichtgezet,” zegt Tom Leijte over infostealers, een vorm van malware die ongemerkt data steelt via privé-apparaten van medewerkers.
Tom is CEO van Passguard, een Nederlandse security startup, die zich richt op het detecteren van infecties met deze malware via het dark web. Het team komt uit de wereld van inlichtingen en gebruikt deze expertise nu om organisaties te beschermen tegen de groeiende dreiging van infostealers. We spraken met hem over wat het risico van infostealers echt betekent en hoe bedrijven zich hiertegen kunnen weren.
Van inlichtingen tot cybersecurity
Tom werkte eerder bij Proximities, een bureau gespecialiseerd in particuliere inlichtingen. Daar leerde hij Sanno van der Graaf en Anthony Wedding kennen, nu respectievelijk CTO en CPO bij Passguard. Het team deed onderzoek voor grote Nederlandse organisaties en overheidsdiensten, waarbij ze gebruik maakten van open bronnen – waaronder het dark web.
Door hun werk zagen ze hoeveel gevoelige informatie er beschikbaar was op het dark web. Informatie waarvan mensen zelf niet eens weten dat die uitgelekt was, maar die zeer waardevol kon zijn voor kwaadwillenden.
Het team van Proximities realiseerde zich dat deze informatie niet alleen waardevol was voor onderzoek, maar ook een groot risico vormde voor organisaties. “We zagen hier een maatschappelijk probleem,” vertelt Tom over het ontstaan van Passguard.
In plaats van de informatie in te zetten voor onderzoek, gebruiken ze deze nu defensief om organisaties te beschermen. Ze focussen zich volledig op één probleem: het detecteren en monitoren van infostealers via het dark web.
Wat zijn infostealers?
Infostealers zijn een vorm van malware die zich richt op het stelen van inloggegevens en andere gevoelige data van geïnfecteerde apparaten. Anders dan ransomware, opereren ze zeer discreet: gebruikers merken vaak niet eens dat ze geïnfecteerd zijn. De malafide software is bezig met een opmars. Volgens IBM is deze activiteit op jaarbasis met 266 procent toegenomen. Kaspersky verwacht dat het aantal geïnfecteerde apparaten tussen 2020 en 2023 is vertwaalfvoudigd.
De malware steelt niet alleen wachtwoorden, maar ook sessietokens uit cookies. Deze tokens geven directe toegang tot actieve sessies. “Zolang zo’n sessie geldig is, zijn die dus overdraagbaar om opnieuw af te spelen door anderen,” legt Tom uit.
Het lastige aan deze vorm van malware is dat organisaties er weinig controle over hebben. “Het zijn jouw medewerkers die toegang hebben tot jouw data op jouw interne omgevingen. Maar het zijn niet jouw apparaten, dus het valt wel onder jouw verantwoordelijkheid. Je hebt er geen controle over wat daarop gebeurt. Je kan dat niet beheersen, je kan die risico’s niet afstoppen.”
Een bekend voorbeeld is de hack bij EA Games in 2021. Een medewerker had een infostealer infectie op zijn privé-apparaat, waar ook een Slack-sessie op draaide. De gestolen sessietoken werd voor $10 verkocht op het dark web. De koper kon hiermee inloggen op het Slack-account van de medewerker en stuurde een bericht naar IT Support: hij was zijn telefoon kwijt op een feestje en kon niet meer werken. IT maakte een nieuwe token aan – maar voor de hacker in plaats van de medewerker. Het resultaat: een grote hack waarbij broncode van games werd gestolen.
Passguard, een introductie
Over Passguard
Passguard is een Nederlandse cybersecurity startup opgericht in 2022, voortgekomen uit het particuliere inlichtingenbureau Proximities. Het bedrijf is gespecialiseerd in het detecteren en monitoren van infostealer malware via het dark web. Het team gebruikt hun expertise uit de inlichtingenwereld om organisaties te beschermen tegen deze groeiende dreiging die via privé-apparaten van medewerkers bedrijfsdata steelt.
Passguard biedt organisaties eerst een gratis quickscan die laat zien of er al infecties zijn geweest op apparaten in de organisatie, welke systemen betrokken waren en tot welke interne omgevingen er toegang was vanaf de gecompromitteerde apparaten.
Na de quickscan kunnen organisaties kiezen voor een full scan, om alle informatie over bestaande apparaten uit te pakken. Tot slot biedt Passguard continue monitoring aan, zodat klanten direct kunnen ingrijpen op het moment dat er een nieuwe infectie te koop wordt aangeboden. “We zijn een puntoplossing,” benadrukt Tom. “We richten ons op dat ene risico. Daar bijten we ons in vast, daar helpen we de klanten mee.”
Een recent voorbeeld van Passguard’s toegevoegde waarde: bij een grote organisatie ontdekte het team een malware infectie op een apparaat met systeem-rechten. De infectie was al een jaar oud en volledig onopgemerkt gebleven. De organisatie had in die periode wel onverklaarbare activiteit gezien rondom het account. Door Passguard’s full scan kon de organisatie direct actie ondernemen. Voor het team was dit een belangrijk moment – het bevestigde dat hun focus op infostealers organisaties echt kon helpen met een onderschat probleem.
De toekomst van infostealers
Het verhaal van Passguard laat zien dat innovatie in security niet altijd gaat om het ontwikkelen van complexe nieuwe technologie. Een oplossing kan soms al ontstaan door het toepassen van je eigen expertise. In het geval van Passguard: hun geavanceerde informatiepositie op het dark web.
Hoewel het infostealer probleem in absolute aantallen relatief klein is – bij een bedrijf met 1000 laptops zal het doorgaans gaan om een paar apparaten, groeit het probleem wel hard. Door de toenemende afhankelijkheid van identiteit, externe SaaS-applicaties en thuiswerken zal de specialistische kennis van Passguard daarom steeds belangrijker worden.