Заплахата от зловреден софтуер за кражба на информация се увеличава, като само през миналата година са били заразени 4,3 милиона машини Lumma stealer и RedLine.

Изследователи предупреждават, че през миналата година милиарди данни, изложени на риск от киберпрестъпници, са били получени от логове на похитители на информация – и това е създало бомба със закъснител за предприятията, тъй като хакерите започват да разбиват системи.

В доклада на KELA Cyber Threat Intelligence „Състояние на киберпрестъпността 2024“ инфостраторите са посочени като постоянна заплаха, която обикновено служи като „предшественик на напреднали атаки, включително ransomware и spyware“.

Фирмата заяви, че през 2024 г. е наблюдавала повече от 4,3 милиона машини по света, които са били заразени със зловреден софтуер infostealer, като например Lumma stealer или RedLine.

Тя изчислява, че това ще представлява повече от 330 милиона удостоверения, компрометирани с помощта на infostealers, което според нея е малко повече от данните от 2023 г.

От KELA предупредиха, че тези данни могат да бъдат използвани в бъдещи атаки, които могат да прераснат в „масивни кампании за изнудване“, като се позоваха на поредицата от атаки, използващи компрометирани данни от Snowflake през 2024 г., които са засегнали поне 165 различни компании.

В допълнение към идентифицираните 330 милиона удостоверения KELA посочва, че е наблюдавала и 3,9 милиарда удостоверения, споделени под формата на списъци с удостоверения. Тези списъци с удостоверения, обикновено наричани от  заплахите url:login:pass (ULP) файлове, представляват компилации от данни, получени по време на атаки.

Това могат да бъдат пълномощни, събрани от разнообразни източници, като например пробиви на трети страни или фишинг, но в доклада се твърди, че повечето ULP файлове са получени от логове на инфокрадци.

Според KELA Lumma остава най-популярният щам на зловреден софтуер за кражба на информация и е отговорен за 41% от заразените машини в нейното езеро от данни.

Другите най-големи нарушители са StealC (20%) и Redline (17%), за който KELA отбелязва, че е бил разбит през октомври 2024 г. като част от операция Magnus.

Индия, Бразилия и Индонезия са трите най-засегнати държави, на които се падат 20,12% от ботовете, заразени със зловреден софтуер Infostealer през 2024 г.

KELA също така подчерта чувствителните услуги, които най-често са обект на атаки с помощта на тези компрометирани идентификационни данни, като най-често атакуваните са бизнес облачни решения (22,02%), CMS (21,19%), електронна поща (13,85%) и системи за удостоверяване на потребителите (11,5%).

Как да се предпазите от заплахите на Infosealer

Според Доклада за киберзаплахите през 2025 г. на Huntress през 2024 г. на инфостраторите се пада почти една четвърт (24%) от всички киберинциденти, което я прави най-често срещаната категория заплахи през годината.

В разговор с ITPro Джарон Брадли, директор на Jamf Threat Labs в Jamf, заяви, че кампаниите на infostealers се увеличават, като доказателствата сочат, че те са особено ефективна тактика, използвана от участниците в заплахите.

„Наблюдава се значително увеличение на кампаниите Infostealer и те се оказват изключително ефективни, дори и в macOS. Тези крадци са проектирани така, че да се насочват към конкретни места на твърдия диск на потребителя, търсейки критични файлове като потребителски имена, пароли, данни за сесиите на браузъра, портфейли за криптовалута, документи и др.“

Брадли добави, че началните етапи на кампаниите на infostealer изискват действия от страна на жертвата, така че чрез подобряване на цялостната осведоменост за сигурността предприятията могат да намалят част от заплахата, която те представляват за тяхната организация.

„Потребителите трябва да бъдат предпазливи при отварянето на софтуер, изпратен от непознати, особено ако той идва с необичайни инструкции, като например кликване с десния бутон на мишката или коригиране на настройките“, обясни той.

„За да постигнат пълен успех, тези информационни крадци се нуждаят и от паролата за вход на жертвата, която обикновено се получава чрез просто подканване на потребителя с изскачащ прозорец. Потребителите винаги трябва да се питат защо дадено приложение се нуждае от техните идентификационни данни за вход, преди да ги предоставят доброволно.“

Освен инвестирането в подобряване на осведомеността за сигурността в цялата компания, KELA предлага редица допълнителни мерки за противодействие, които предприятията могат да предприемат, за да се защитят.

Те включват внедряване на усъвършенствани решения за откриване и реагиране на крайни точки (EDR), които използват анализ на поведението, а не само методи, базирани на сигнатури, за откриване и изолиране на дейността на крадците на информация в реално време.

Подобрената защита на електронната поща също е от съществено значение за предотвратяване на опитите за фишинг, които са основният метод за предаване на информация от крадците, се казва още в доклада.

И накрая, сегментирането на мрежата е друго важно ниво на защита, използвано за ограничаване на страничното движение, след като нападателят е вътре в периметъра, и за спиране на достъпа му до критични системи и чувствителни данни.