De aanvaller die geen brand sticht
Vraag iemand een cyberaanval te schetsen en je krijgt het beeld van ransomware: gegijzelde systemen, knipperende ransomnotes, een organisatie die plotseling stilvalt. Maar de meeste van die spectaculaire incidenten beginnen niet met een knal. Ze beginnen met iets wat veel onopvallender is — een stille gast die binnenkomt, een paar minuten rondkijkt, en weer vertrekt met de sleutels van het bedrijf.
Die stille gast heet een infostealer. En de cijfers laten zien dat dit type malware in stilte is uitgegroeid tot het dominante leverancierskanaal voor inloggegevens op de criminele markt. Volgens analyses van Flashpoint is ruim driekwart van de op de zwarte markt aangeboden inloggegevens afkomstig uit infostealer-besmettingen. Mandiant rapporteerde in M-Trends 2024 dat het misbruik van gestolen credentials de op één na meest waargenomen initiële infectievector was bij de incidenten die zij onderzochten — voor het eerst in jaren een vector die vrijwel volledig leunt op infostealers en credential dumps.
Wat doet een infostealer eigenlijk?
Een infostealer is malware met één duidelijk doel: zo snel mogelijk gevoelige informatie van een apparaat halen en verdwijnen. Geen versleuteling, geen sabotage, geen langdurige aanwezigheid. Wel: opgeslagen wachtwoorden uit browsers, sessiecookies, e-mailtoegang, VPN-configuraties, cryptosleutels, en configuratiebestanden van cloud-omgevingen.
De bekendste families — AgentTesla, Lumma, Vidar, Rhadamanthys, StealC, RedLine, Raccoon — zijn breed gedocumenteerd door securitybedrijven als ESET, Sekoia.io, Mandiant, Microsoft en Recorded Future. Wat ze gemeen hebben: ze worden niet door één crimineel gebouwd én gebruikt, maar via een Malware-as-a-Service-model verhuurd aan honderden of duizenden afnemers tegelijk. Een abonnement op Lumma kostte voor de takedown door Microsoft in mei 2025 enkele honderden dollars per maand.
Het ecosysteem: arbeidsdeling onder criminelen
Wat infostealers zo effectief maakt, is dat ze schakels zijn in een professionele waardeketen met heldere rollen:
- Malware-as-a-Service (MaaS) aanbieders ontwikkelen en verhuren de malware, vaak inclusief infrastructuur, een dashboard en support.
- Distributeurs kopen de malware en verspreiden hem via phishing, malvertising, nep-CAPTCHA's (de "ClickFix"-techniek), gecrackte software en SEO-poisoning.
- Initial Access Brokers (IAB's) verzamelen de buit uit infostealer-logs, filteren op zakelijke domeinen, en verkopen de toegang door aan de hoogste bieder. Onderzoek van KELA, Group-IB en andere CTI-leveranciers laat zien dat zo'n verkocht "access pakket" voor een gemiddeld bedrijf typisch enkele duizenden dollars opbrengt.
- Eindafnemers zijn ransomware-operators, afpersers en — minder zichtbaar maar even reëel — statelijke actoren die infostealer-buit gebruiken voor spionage. Mandiant heeft meerdere keren publiek gedocumenteerd dat statelijke groepen credential-dumps van infostealers benutten als laagdrempelige toegangsroute.
Het BYOD-probleem dat niemand wil bespreken
Hier wordt het ongemakkelijk. Verizon's Data Breach Investigations Report 2025 signaleert dat een substantieel deel van de infostealer-besmettingen waarbij zakelijke credentials worden buitgemaakt, plaatsvindt op onbeheerde apparaten — privélaptops, persoonlijke telefoons, apparaten van externe leveranciers en contractors. Het door Verizon gerapporteerde aandeel ligt rond de 46%. Andere bronnen — Sekoia.io, Flare en SpyCloud — komen op vergelijkbare ordes van grootte uit.
Dit is geen randverschijnsel. Veel organisaties staan toe dat medewerkers hun eigen apparaat gebruiken om e-mail te lezen, in te loggen op SaaS-applicaties, of via SSO toegang te krijgen tot bedrijfssystemen. Op datzelfde apparaat downloadt diezelfde medewerker buiten werktijd een crackversie van een spel, klikt op een nep-CAPTCHA, of installeert een "gratis" tool. Eén infostealer-besmetting later staan zowel de privé- als de zakelijke wachtwoorden in een Telegram-kanaal, klaar voor verkoop.
Het Snowflake-incident van 2024 — publiekelijk gedocumenteerd door Mandiant en Google Cloud Security — is hét leerzame voorbeeld. Eén infostealer-besmetting op een BYOD-apparaat van een derde partij was voldoende om inloggegevens voor cloud-omgevingen te stelen. Met die credentials werden vervolgens accounts van honderden Snowflake-klanten benaderd — bij accounts zonder MFA. De cascade die daarop volgde, raakte onder andere AT&T, Ticketmaster en Santander.
Waarom MFA niet meer genoeg is
Veel organisaties denken: "Wij hebben MFA, dus we zijn beschermd." Dat is voor een deel waar — phishing-resistente MFA (zoals FIDO2/passkeys) verkleint de bruikbaarheid van een gestolen wachtwoord drastisch. Maar moderne infostealers richten zich expliciet op sessiecookies en sessietokens. Met zo'n token kan een aanvaller een al actieve sessie overnemen, zonder opnieuw te authenticeren. MFA wordt dan eenvoudigweg overgeslagen.
Microsoft Threat Intelligence schrijft hier sinds 2023 expliciet over onder de noemer "token theft" en "adversary-in-the-middle" (AiTM). Recent infostealer-onderzoek van Sekoia, Outpost24 en Recorded Future bevestigt dat sessiecookie-diefstal — vooral van Microsoft 365, Google Workspace, AWS, Azure en Salesforce — een steeds prominentere functionaliteit is van moderne infostealer-families.
De takedowns helpen — maar maar tijdelijk
In mei 2025 verstoorde een coalitie van Microsoft, Europol, het Amerikaanse ministerie van Justitie en meerdere private partners de infrastructuur van Lumma Stealer. In november 2025 verstoorde Operation Endgame de infrastructuur achter Rhadamanthys. Beide acties werden uitgebreid gedocumenteerd in publieke aankondigingen.
Het effect? Lumma was binnen weken weer (deels) operationeel, zoals onder andere Check Point en Trend Micro publiek rapporteerden. Bij Rhadamanthys lijken veel afnemers overgestapt naar concurrenten als StealC en Acreed. De les: takedowns winnen tijd en doen reputatieschade aan een MaaS-aanbieder, maar de markt verplaatst zich razendsnel. Zolang de vraag naar gestolen credentials hoog blijft, blijft het aanbod komen.
Wat moet een organisatie nu doen?
Een paar prioriteiten waar organisaties mee aan de slag moeten:
- Maak expliciete keuzes over BYOD. Niet doen-alsof-je-het-niet-toestaat, maar of een beheerde zakelijke omgeving op privéapparaten afdwingen via MDM/UEM, of toegang vanaf onbeheerde apparaten daadwerkelijk blokkeren.
- Phishing-resistente MFA. SMS-codes en pushnotificaties zijn niet genoeg. FIDO2/passkeys zijn de norm waar dat mogelijk is.
- Conditional access en zero trust. Verleen toegang op basis van apparaatstatus én identiteit — niet op basis van wachtwoord alleen. Overweeg VDI/DaaS voor toegang tot gevoelige data.
- Monitor of jouw gegevens al gelekt zijn. Diensten als SpyCloud, Flare, Constella, Recorded Future en Have I Been Pwned (op een ander schaalniveau) scannen het clearnet en darkweb op gestolen inloggegevens. Doe dit structureel, niet incidenteel.
- Reageer in de juiste volgorde. Eerst malware verwijderen, dán pas wachtwoorden resetten en — cruciaal — alle actieve sessies revoken. Een wachtwoordwijziging beëindigt op zichzelf de actieve sessies niet automatisch.
De ongemakkelijke conclusie
Infostealers zijn niet de spectaculairste dreiging. Ze halen zelden de krantenkoppen op eigen kracht. Maar ze zijn de leverancier van vrijwel elke spectaculaire dreiging die wél de krantenkoppen haalt. Wie zijn weerbaarheid tegen infostealers serieus neemt, neemt zijn weerbaarheid tegen ransomware en accountovername serieus. Andersom geldt dat ook: organisaties die hun BYOD-beleid in nevelen laten hangen en hopen dat MFA het wel oplost, geven aanvallers een vrijwel gegarandeerde route binnen.
De eerlijke vraag is niet of er gestolen credentials van jouw organisatie circuleren. De vraag is wáár, en wat je daaraan gaat doen.
