Când furtul în masă al conturilor și parolelor a început să semene cu o invazie tăcută, puțini au realizat cât de simplu un singur set de credențiale sustrase poate deschide larg porți în rețelele unei companii. Raportul Flashpoint despre malware-urile tip infostealer descrie clar de ce aceste programe s-au transformat în piese centrale ale lanțului atacurilor cibernetice recente și cum datele furate, de la adrese de e‑mail la cookie‑uri de sesiune, sunt comercializate și utilizate pentru compromisuri pe scară largă.
Infostealer-ele au depășit stadiul de experimente izolate; ele au generat peste 1, 8 miliarde de înregistrări ce includ conturi personale și corporative, parole, cookie‑uri și alte informații sensibile. Practic, un singur fișier rezultat dintr‑o astfel de infectare poate conține suficiente date despre gazdă și sesiuni pentru ca un atacator să avanseze lateral în rețea și să preia controlul total. Provocarea pentru echipele de securitate nu este doar identificarea breșei, ci și obținerea vizibilității asupra piețelor ilicite unde aceste fișiere sunt cumpărate, vândute și „ambalate” pentru operațiuni viitoare.
Ian Gray, vicepreședinte pe intelligence la Flashpoint, subliniază că infostealer-ele au facilitat compromisuri masive ale credentialelor și token‑urilor de sesiune. Din acest motiv, afirmă el, strategiile defensive trebuie reformulate: monitorizarea proactivă a cookie‑urilor de sesiune furate și a metadatelor dispozitivelor corporative poate împiedica atacurile înainte de a escalada. Raportul notează și o creștere dramatică, infectările cu infostealer au crescut cu 800% în 2025, ceea ce impune adaptarea urgentă a apărării.
Pe piață, câteva familii de infostealer ies în evidență. Lumma Stealer, cunoscut și ca LummaC2, funcționează într‑un model Malware‑as‑a‑Service, cu abonamente lunare automate care pot varia între 250 și 20.000 USD. Asta permite actorilor cu bugete diverse să acceseze unelte avansate fără complicații mari, cam ca un abonament la sală, dar cu scopuri ilicite. StealC, apărut în februarie 2024 și scris în C, a câștigat rapid teren prin capacitatea sa de a extrage fișiere și date din browsere, fiind considerat cel mai probabil concurent al Lumma pe piață. Vidar, activ din 2018, oferă funcționalități extinse: exfiltrarea fișierelor text în multiple formate, cookie‑uri, istoricul browserelor (inclusiv TOR), datele auto‑complete ce includ informații bancare și de card, căutarea în portofele de criptomonede, capturi de ecran și înregistrarea mesajelor private din diverse aplicații.
Pentru cei interesați de contrapunte practice, Flashpoint oferă Ghidul Apărătorului Proactiv împotriva infostealerelor, cu strategii concrete pentru apărare eficientă. Pe scurt, soluțiile sugerate depășesc detectarea post‑compromitere: includ monitorizarea activă a datelor expuse pe piețele ilicite, gestionarea strictă a cookie‑urilor și token‑urilor de sesiune și supravegherea detaliată a metadatelor dispozitivelor corporative, astfel încât un fișier furat să nu devină cheia unei breșe majore.
Raportul și exemplele sale scot în evidență două aspecte esențiale: economia subterană a datelor și industrializarea atacurilor informatice. Lumma, StealC și Vidar nu sunt doar programe, ci elemente ale unor ecosisteme care permit monetizarea la scară a informațiilor sustrase. În plus, cifrele, 1, 8 miliarde de înregistrări compromise și o creștere de 800% a infectărilor, arată că riscul nu este doar tehnic, ci și structural: companiile trebuie să regândească ce înseamnă „protecție suficientă” în era cookie‑urilor și token‑urilor persistente. Ce măsuri concrete ai putea implementa azi în organizația ta pentru a reduce riscul ca un simplu fișier log furat să deschidă o cale către compromitere?
wow, daaa, sună urât. stiu… dar se pot face chestii practice imediat, nu doar panicat.
pt început: MFA phish‑resistant (FIDO2 / hardware keys / passkeys) obligatoriu pentru admini și acces sensibila, disable legacy auth, scurtează TTL‑ul tokenilor/session cookie, și pune revocare automată la anomalie.
cookie: secure + httpOnly + SameSite, bind session la metadate device (UA/ip/geoloc) și invalidate la schimbări suspecte.
monitor darkweb/paste sites + threat feeds, SIEM/UEBA pt logins neobișnuite, EDR și izolarea browserului ca să blochezi exfiltrarea inițială.
vault/HSM pt secrete, rotate automat credentiale de service, microsegmentation și least‑privilege ca să oprești mișcarea laterală.
honeytokens + honeypots simple pentru detectie timpurie, throttle la încercări brute, și training scurt pt useri + password manager.
n‑o să scapi de risc 0, dar 2 pași rapizi = hardware MFA pt admins + scurtează TTL la cookie = reduc mult impactul imediat. lol ms 🙂