Para platform ini mengambil inspirasi dalam desain dan pemasarannya dari layanan informasi dan e-commerce yang sah. Banyak pasar dan forum menagih biaya langganan untuk mengakses platform dan kemudian memiliki struktur harga yang berbeda untuk data tergantung pada seberapa berharganya. Saat ini, Gray mengatakan, Russian Market memiliki begitu banyak data curian yang tersedia dari infostealers sehingga telah menagih tarif datar rendah, biasanya tidak lebih dari $10, untuk setiap subset data yang pengguna ingin unduh.
“Organisasi telah menjadi sangat baik dengan keamanan mereka, dan orang-orang juga semakin canggih, jadi mereka bukan target terbaik sekarang,” kata Gray. “Jadi penyerang membutuhkan sesuatu yang kurang ditargetkan dan lebih berdasarkan pada apa yang bisa mereka manfaatkan. Infostealers bersifat modular dan sering dijual dengan langganan, dan evolusi itu mungkin sejalan dengan kenaikan layanan langganan modern seperti streaming video.”
Infostealers telah sangat efektif dengan munculnya kerja jarak jauh dan kerja hibrida, karena perusahaan beradaptasi dengan memungkinkan karyawan mengakses layanan kerja dari perangkat pribadi dan akun pribadi dari perangkat kerja. Hal ini menciptakan peluang bagi infostealers untuk secara acak mengompromikan individu misalnya, komputer rumah mereka tapi masih mendapatkan kredensial akses perusahaan karena orang tersebut masuk ke beberapa sistem kerja mereka juga. Ini juga memudahkan malware pencuri informasi untuk melewati perlindungan perusahaan, bahkan pada perangkat perusahaan, jika karyawan dapat membuka akun email pribadi atau media sosial mereka.
“Saya mulai memperhatikan ini begitu menjadi masalah perusahaan,” kata Carmakal dari Mandiant. “Dan terutama sekitar tahun 2020, karena saya mulai melihat lebih banyak intrusi perusahaan pertama kali berasal dari kompromi komputer rumah – melalui phishing akun Yahoo, Gmail, dan Hotmail orang yang sama sekali tidak terkait dengan targeting perusahaan apa pun, tetapi bagi saya terlihat sangat oportunis.”
Victoria Kivilevich, direktur riset ancaman di perusahaan keamanan KELA, mengatakan bahwa dalam beberapa kasus, kriminal dapat menggunakan pasar kejahatan siber untuk mencari domain target potensial dan melihat apakah ada kredensial yang tersedia. Kivilevich mengatakan penjualan data infostealer dapat dianggap sebagai “rantai pasokan” untuk berbagai jenis serangan siber, termasuk operator ransomware yang mencari detail korban potensial, mereka yang terlibat dalam kompromi email bisnis, dan bahkan pialang akses awal yang dapat menjual detail kepada penjahat siber lainnya lagi.
Di berbagai pasar kejahatan siber dan Telegram, kata Kivilevich, telah lebih dari 7.000 kredensial kompromi terkait akun Snowflake yang dibagikan. Dalam satu contoh, seorang penjahat telah mempromosikan akses ke 41 perusahaan dari sektor pendidikan; seorang penjahat siber lainnya mengklaim menjual akses ke perusahaan-perusahaan AS dengan pendapatan antara $50 juta dan $8 miliar, menurut analisis Kivilevich.
“Saya tidak berpikir ada satu perusahaan pun yang datang kepada kami dan tidak memiliki akun yang dikompromi oleh malware pencuri informasi,” kata Kivilevich tentang ancaman yang log infostealer berikan kepada bisnis, dengan KELA mengatakan aktivitas terkait infostealer melonjak pada 2023. Irina Nesterovsky, chief research officer KELA, mengatakan jutaan kredensial telah dikumpulkan oleh malware pencuri informasi dalam beberapa tahun terakhir. “Ini adalah ancaman nyata,” kata Nesterovsky.
Carmakal mengatakan ada beberapa langkah yang dapat diambil perusahaan dan individu untuk melindungi diri dari ancaman infostealer dan dampaknya, termasuk menggunakan produk antivirus atau EDR untuk mendeteksi aktivitas berbahaya. Perusahaan harus tegas dalam menegakkan otentikasi multifaktor di antara pengguna mereka, katanya. “Kami mencoba mendorong orang untuk tidak menyinkronkan kata sandi di perangkat perusahaan mereka dengan perangkat pribadi mereka,” tambah Carmakal.
Penggunaan infostealers telah berhasil dengan sangat baik sehingga hampir tidak terhindarkan bahwa para penjahat siber akan mencari untuk menduplikasi kesuksesan serbuan kompromi seperti Snowflake dan menjadi kreatif tentang layanan perangkat lunak perusahaan lainnya yang dapat mereka gunakan sebagai titik masuk untuk mengakses berbagai perusahaan pelanggan yang berbeda. Carmakal memperingatkan bahwa dia mengharapkan hal ini akan mengakibatkan lebih banyak pelanggaran dalam beberapa bulan mendatang. “Tidak ada ketidakjelasan tentang ini,” katanya. “Pelaku ancaman akan mulai mencari log infostealer, dan mencari penyedia layanan SaaS lainnya, mirip dengan Snowflake, di mana mereka masuk dan mencuri data, dan kemudian memeras perusahaan-perusahaan itu.”