Infostealers Lumma en Vidar: Een nieuwe golf van digitale dreiging

Gepubliceerd op 28 januari 2025 om 14:05

Deze podcast is AI-gegeneerd. (Engels)

Lumma stealer en Vidar zijn de laatste tijd veelbesproken namen in de wereld van cyberdreigingen. Waar Lumma stealer ongeveer een jaar geleden begon als een hulpmiddel om cryptowallets leeg te halen, zien we nu dat deze malware is uitgegroeid tot een geavanceerde password stealer. Dat betekent dat het zich niet meer beperkt tot het leegtrekken van digitale portemonnees, maar ook gericht is op het stelen van inloggegevens, wachtwoordbestanden en andere gevoelige data. Zo moest de Technische Universiteit in Eindhoven enkele dagen de lessen stilleggen na een security-incident waarbij Lumma stealer vermoedelijk een rol speelde. Ook een grote dienstverlener in Europa heeft recent flinke schade geleden door een variant van deze malware, wat aantoont dat de dreiging niet alleen theoretisch is, maar zeer concreet.

Een belangrijk probleem is dat steeds meer organisaties vertrouwen op digitale platforms en diensten voor hun bedrijfsprocessen. Dit maakt hen kwetsbaar voor aanvallen die zich razendsnel aanpassen. Lumma stealer wordt bijvoorbeeld verspreid via onschuldig ogende links, zoals “verify you’re human” bij het spelen van online games of korte filmpjes op TikTok waarin een extra knop wordt aangeboden voor “meer vergelijkbare content”. In werkelijkheid installeert of laadt de gebruiker dan schadelijke code binnen, die zich vaak pas verraadt na het uitvoeren van een verdacht PowerShell-commando. De combinatie van aantrekkelijke, alledaagse webactiviteiten en vrijwel onzichtbare malware maakt dat veel organisaties en gebruikers het gevaar pas laat onderkennen.

Daarnaast is de impact van deze aanvallen behoorlijk groot. Waar het vroeger vooral om financiële schade ging (bijvoorbeeld via cryptowallets), is de focus van de nieuwste varianten verschoven naar het verzamelen van zoveel mogelijk logingegevens. Deze diefstal van wachtwoorden en andere gevoelige informatie opent de deur naar verdere compromittering, zoals het kapen van accounts en het binnendringen van bedrijfsnetwerken. Met de gegevens die men buitmaakt, kunnen criminelen zich voordoen als legitieme gebruikers of systeembeheerders. Dit leidt op zijn beurt weer tot ransomware-aanvallen, datalekken en andere vormen van cybercrime die het functioneren van een organisatie ernstig kunnen verstoren. Kortom, wat begon als een gerichte aanval op cryptowallets is inmiddels uitgegroeid tot een brede en schadelijke dreiging.

Living off the land en snelle varianten

Een zorgwekkende ontwikkeling bij Lumma stealer en Vidar is de zogeheten Living off the Land-aanpak (LoTL). Hierbij installeert de malware niet langer een zichtbaar programma op de computer, maar draait het direct in het werkgeheugen (RAM). Dit maakt het enorm lastig voor traditionele antivirusoplossingen om de dreiging te detecteren, want die richten zich vaak op bestanden of processen die lokaal zijn geïnstalleerd. Door van LoTL-technieken gebruik te maken, kan de malware gebruikmaken van legitieme Windows-onderdelen, zoals PowerShell, om zichzelf te verbergen. Een base64-gecodeerd PowerShell-commando haalt de schadelijke code binnen, vaak vanaf een platform als GitHub. Dat is bij uitstek een vertrouwd domein, waardoor veel filters en firewalls het verkeer zonder meer toestaan.

Het grootste probleem bij deze tactiek is dat organisaties niet altijd direct zien dat er iets misgaat. Wel verschijnen er soms alarmsignalen in de vorm van meldingen als “Suspicious command in RunMRU registry was detected” en daarna “Suspicious PowerShell command line was detected”. Op het moment dat die waarschuwingen verschijnen, is de infostealer vaak al actief. Beveiligingsdeskundigen raden dan ook aan om de getroffen computer direct uit het netwerk te halen of zelfs uit te schakelen. Toch kan er dan al informatie zijn buitgemaakt, omdat de code in het RAM-geheugen draait en vrijwel direct wachtwoorden, cookies, session tokens en andere data kan stelen. De malware fungeert daarbij vaak als keylogger, waardoor het meekijkt terwijl de gebruiker inlogt. Zo kan het ook direct nieuwe wachtwoorden bemachtigen die nog niet in de browser waren opgeslagen.

Bovendien zijn deze infostealers razendsnel aan verandering onderhevig. Wat vandaag wordt ontdekt, kan morgen alweer achterhaald zijn. Zo duiken er constant nieuwe varianten op die net iets anders werken of die andere methoden gebruiken om beveiligingsmaatregelen te omzeilen. De laatste tijd zien we bijvoorbeeld dat aanvallen vaker via legitiem lijkende advertenties of links komen, zelfs op socialmediaplatforms als Facebook en TikTok. Gebruikers worden via een link naar een site geleid, waarna er automatisch een malafide script wordt ingeladen dat de aanval verder initieert. De kortstondige interactie – een enkele muisklik – is vaak genoeg om de keten op gang te brengen. Dit bewijst dat je niet op een expliciet “foute” site hoeft te zitten om risico te lopen; ook populaire platformen kunnen ongewild dienen als springplank voor deze malware.

De toenemende verscheidenheid en geavanceerdheid van deze aanvallen toont aan dat de traditionele benadering van IT-beveiliging dringend aan vernieuwing toe is. Klassieke antiviruspakketten of het enkel instellen van sterke wachtwoorden bieden geen garantie meer. Cybercriminelen maken handig gebruik van ingebouwde tools in het besturingssysteem en breiden hun toolkit voortdurend uit met technieken om snel andere systemen in het netwerk te compromitteren. Met session tokens kunnen ze bijvoorbeeld al direct inloggen op kritieke systemen, zelfs als daar tweefactorauthenticatie vereist is. Het gevolg is dat het volledige netwerk van een organisatie binnen de kortste tijd kwetsbaar kan worden.

De rol van wachtwoordbeheer en mindyourpass

In het licht van deze dreiging is er veel discussie over de manier waarop bedrijven en gebruikers hun wachtwoorden beheren. Nog altijd slaan veel mensen inloggegevens lokaal op in de browser, simpelweg omdat dit handig is. Infostealers als Lumma en Vidar hebben daar een makkelijke prooi aan, want die kunnen direct bij de browserdata. Daarnaast zijn ook traditionele password managers, zoals LastPass, 1Password en Bitwarden, niet onkwetsbaar. Ze vormen een aantrekkelijk doelwit: als een infostealer toegang krijgt tot de kluisbestanden, heeft hij in één keer een schat aan wachtwoorden in handen.

Een alternatief concept is iets als MindYourPass, dat geen wachtwoorden opslaat in een kluis, maar ze dynamisch genereert op het moment dat je inlogt. Hierdoor is er geen centrale database voor criminelen om te plunderen. MindYourPass maakt automatisch sterke, unieke wachtwoorden voor elk account, waardoor het risico op massaal hergebruik van wachtwoorden afneemt. Het idee is dat als een infostealer tóch een wachtwoord voor een bepaald account weet te stelen, dat wachtwoord niet herbruikbaar is voor andere diensten. Ook worden er geen bestanden met wachtwoorden bewaard, wat de aanvalsmogelijkheden via een wachtwoordkluis beperkt.

Desondanks is dit niet voldoende om je volledig te beschermen tegen infostealers als Lumma en Vidar. De malware pakt immers niet alleen opgeslagen wachtwoorden, maar stuurt ook keyloggers mee om je live getypte inloggegevens te verzamelen. Daarnaast richt het zich op session tokens en cookies, waardoor criminelen eventueel ingelogde sessies kunnen overnemen zonder een wachtwoord te hoeven raden of in te voeren. Dit is vooral gevaarlijk bij accounts met extra beveiligingsmaatregelen zoals multi-factorauthenticatie, omdat die stappen vaak al zijn doorlopen in de actieve sessie. Ook mappen met wachtwoordbestanden, klembordgegevens en andere bestanden waarin gevoelige informatie staat, zijn een doelwit.

Bij bedrijven en instellingen roept dit de vraag op of een actieve passwordmanager, die tijdens de aanval geopend is, eveneens leeggehaald kan worden. De waarheid is dat securityprofessionals dit niet altijd met zekerheid kunnen uitsluiten, vooral omdat de malware zich razendsnel aanpast. Wat vandaag niet mogelijk lijkt, kan morgen al een nieuwe functionaliteit zijn. Daarom is het zaak om niet alleen te focussen op betere wachtwoordprocedures, maar ook op het beperken van de (netwerk)toegang en het toepassen van aanvullende beveiligingslagen. Denk hierbij aan browser-isolatie, waarbinnen internetverkeer in een aparte virtuele omgeving wordt verwerkt, en strikte segmentatie van het bedrijfsnetwerk, zodat een aanval niet meteen kan overspringen van één compromis naar de volledige IT-omgeving.

Zero trust en bredere beveiligingsmaatregelen

Waar het vroeger vooral volstond om een firewall en antivirus te hebben, is dat vandaag de dag echt niet genoeg meer. De inzet van een Zero Trust-architectuur wordt door veel experts genoemd als een noodzakelijke stap om geavanceerde dreigingen als Lumma en Vidar het hoofd te bieden. Zero Trust gaat uit van het principe dat niets en niemand – ook niet binnen het eigen bedrijfsnetwerk – automatisch wordt vertrouwd. Toegang tot systemen en data wordt verstrekt op basis van continue verificatie en strikt gedefinieerde rollen en rechten. Elke nieuwe verbinding of aanvraag wordt geanalyseerd en gemonitord, en afwijkend gedrag wordt direct onder de loep genomen.

Concreet houdt dit in dat bedrijven niet alleen moeten kijken naar wie er inlogt, maar ook naar wat diegene precies doet. Gebruik je bijvoorbeeld Microsoft 365, dan is het raadzaam om alle devices te ‘onboarden’ in Defender for Endpoint. Zelfs als er al een andere antivirusoplossing actief is, kan Defender in passieve modus extra signalen en meldingen oppikken, wat meer gelaagde bescherming biedt. Ook een EDR- (Endpoint Detection and Response) of XDR-systeem (Extended Detection and Response) kan hieraan bijdragen. Deze systemen monitoren het gedrag van endpoints continu en letten op verdachte patronen, zoals het opeens massaal wegschrijven van data, plotselinge PowerShell-activiteiten of ongebruikelijke toegang tot kritieke bestanden.

Een ander belangrijk element is het beperken van PowerShell en het streng reguleren van script-uitvoering. Hoewel PowerShell een krachtig en legitiem beheerinstrument is voor systeembeheerders, wordt het ook veel misbruikt door aanvallers. Door bijvoorbeeld via AppLocker of vergelijkbare oplossingen regels te definiëren die ongetekende of niet-geautoriseerde scripts blokkeren, maak je het criminelen lastiger om de malware in het RAM-geheugen te injecteren. Daarnaast kun je overwegen om Credential Guard en browser-isolatie in te schakelen, zodat inloggegevens en andere gevoelige informatie niet zomaar in het systeemgeheugen belanden waar een infostealer bij kan komen.

Ook de rol van NIS2, de nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging, komt aan bod in de discussie. Sommige beveiligingsexperts vinden dat infostealers in deze richtlijn te weinig aandacht krijgen, terwijl ze juist nu zo’n opmars maken. Het is dan ook cruciaal dat organisaties, zeker de essentiële en belangrijke entiteiten die onder NIS2 vallen, niet achteroverleunen en afwachten tot deze richtlijn volledig is uitgewerkt. De dreigingen zijn immers al aanwezig en ontwikkelen zich in hoog tempo. Dat vraagt om een proactieve houding, permanente monitoring en het voortdurend aanscherpen van het eigen veiligheidsbeleid.

Strategische aandachtspunten voor de toekomst

Ten slotte is het niet alleen de technische beveiliging die doorslaggevend is. Minstens zo belangrijk is dat je medewerkers en studenten (in geval van onderwijsinstellingen) zich bewust zijn van de risico’s. Een infostealer komt in veel gevallen binnen via een linkje dat “net echt” lijkt. Social media, video-platforms en zelfs populaire code repositories vormen geen garantie voor veiligheid. Met de juiste phishing- en awareness-training leren mensen verdachte acties te herkennen en melden, bijvoorbeeld wanneer ze na één klik een extra “verify”-knop tegenkomen of gevraagd worden een bestand te downloaden.

Verder is het goed om duidelijk te communiceren waarom men niet standaard inloggegevens in de browser moet bewaren en hoe belangrijk het is om zorgvuldig met wachtwoordbestanden en gevoelige data om te gaan. Voor organisaties die veel met externen samenwerken of grote aantallen cloudapplicaties in gebruik hebben, is het essentieel om een actueel overzicht te hebben van alle gebruikte diensten. Zo kan je sneller ingrijpen als er iets afwijkends gebeurt. Vergroot je zicht op logbestanden en richt een SIEM- of SOAR-oplossing in, zodat verdachte patronen in netwerktrafiek worden gesignaleerd. Met de inzet van bijvoorbeeld Machine Learning- of AI-gebaseerde systemen kunnen ook nieuwe, nog onbekende varianten van infostealers eerder herkend worden aan hun gedrag.

Voor wat betreft wachtwoordbeheer kan een oplossing als MindYourPass zeker een rol spelen in het verminderen van risico. Het is absoluut een stap voorwaarts ten opzichte van de browser of kluisgebaseerde wachtwoordopslag, en het helpt om hergebruik van wachtwoorden te voorkomen. Tegelijkertijd hebben we gezien dat Lumma stealer en Vidar inmiddels veel meer doen dan alleen wachtwoorden stelen. Ze lezen data rechtstreeks uit het RAM-geheugen, verzamelen session tokens en cookies, en fungeren vaak als keylogger. Dat vraagt om een holistische aanpak: naast het verbeteren van wachtwoordbeheer, moet je ook nadenken over segmentatie, het activeren van strikte rol- en toegangsmodellen en het minimaliseren van privileges.

Blijf daarnaast nauw samenwerken met externe securityspecialisten of dienstverleners. Ga periodiek met hen om tafel om dreigingsbeelden te bespreken en je beveiligingslagen te evalueren. Wie denkt dat het niet zo’n vaart zal lopen, loopt juist een grotere kans om verrast te worden door een plotselinge aanval. Het is de taak van iedere organisatie om te blijven leren en updaten, vooral omdat cybercriminelen nooit stilzitten. Of het nu gaat om Lumma, Vidar of weer een volgende variant: de basisprincipes van Zero Trust, continue monitoring en een gedegen security awareness blijven de hoekstenen van een sterke verdediging.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Reactie plaatsen

Reacties

Gerard van der Heijden
21 dagen geleden

Bijzonder leerzaam en verhelderend artikel!