In tegenstelling tot de ransomware-aanvallen die de krantenkoppen halen, voltrekt zich een stille epidemie binnen organisaties die mogelijk nog gevaarlijker is. Infostealers, malware specifiek ontworpen om inloggegevens en andere gevoelige data te stelen, vormen de perfecte voedingsbodem voor cybercriminelen – en vrijwel niemand heeft het in de gaten.
De cijfers zijn onthutsend. Flashpoint rapporteert dat in 2024 wereldwijd ruim 2,1 miljard inloggegevens werden gestolen via infostealer-malware – goed voor maar liefst 75 procent van alle gestolen credentials dat jaar. In de eerste twee maanden van 2025 waren dat er al meer dan 200 miljoen.
In Nederland alleen detecteerde ESET vorig jaar ruim 33.000 pogingen van infostealer-aanvallen, een stijging van 17 procent ten opzichte van het jaar ervoor. RTL Nieuws meldde eind 2024 dat al meer dan 40.000 Nederlanders slachtoffer zijn geworden, met dagelijks tientallen nieuwe besmettingen.
“Ik zie in de komende achttien maanden infostealers alleen maar toenemen omdat de effectiviteit ervan zo groot is”, waarschuwt Dave Maasland, directeur van ESET Nederland. “Het is de voedingsbodem van een groot gedeelte van de georganiseerde misdaad die we nu digitaal kennen.”
Het zorgwekkende is niet alleen de omvang, maar vooral de impact. Onderzoek van KELA toont aan dat bijna 40 procent van alle geïnfecteerde machines inloggegevens bevat voor kritieke bedrijfssystemen zoals Active Directory, e-mailomgevingen en VPN-toegang – precies de kroonjuwelen die cybercriminelen nodig hebben om diep in organisaties te penetreren en vervolgaanvallen zoals ransomware uit te voeren.
Thuiswerkparadox
De verklaring voor de explosieve groei van infostealers is niet ver te zoeken. Wat ooit één kantoor was met centrale beveiliging, is nu versnipperd tot honderden individuele thuiswerkplekken. “De belangrijkste blinde vlek is het thuiskantoor”, benadrukt Maasland. “Je moet het zo zien: Waar je vroeger duizend medewerkers op één locatie had, ben je nu naar tweehonderd kantoren gegaan, en die externe locaties worden vaak niet door jou beschermd.”
KELA’s onderzoek bevestigt dit: 64,7 procent van alle infostealer-infecties vindt plaats op persoonlijke computers, niet op bedrijfsapparaten. Check Point rapporteert vergelijkbare cijfers: ongeveer 70 procent van de geïnfecteerde apparaten is persoonlijk eigendom. Cybercriminelen richten zich hierbij bewust op Bring Your Own Device (BYOD)-omgevingen omdat ze weten dat de beveiliging daar vaak zwakker is dan op bedrijfsnetwerken.
“In de praktijk zien we heel vaak dat mensen thuiswerken op een persoonlijke laptop die besmet is geraakt, bijvoorbeeld doordat er games op gespeeld worden”, legt John Fokker, Head of Threat Intelligence bij Trellix uit. “Zodra ze vervolgens inloggen op het bedrijfsnetwerk, worden die bedrijfscredentials onderschept en belanden ze direct bij cybercriminelen.”
Onverwachte risicogroepen
Opmerkelijk in KELA’s analyse van 300 slachtofferprofielen: projectmanagers lopen verreweg het grootste risico, verantwoordelijk voor 28 procent van alle infecties. Consultants (12,7 procent) en softwareontwikkelaars (10,7 procent) volgen daarna.
Dit strookt niet met het traditionele beeld van de risicogebruiker. Niet alleen de ‘gewone’ medewerker zonder securitybewustzijn is kwetsbaar, maar juist ook de hoogopgeleide professionals die toegang hebben tot meerdere systemen. “Als je een consultant bent of ZZP’er en voor meerdere opdrachtgevers werkt, moet je je bewust zijn van het risicoprofiel. Je bent een interessante toegangspoort tot meerdere organisaties”, zegt Maasland.
De technologiesector is met 14 procent het zwaarst getroffen, gevolgd door IT-dienstverlening (11 procent) en productie (9 procent). Niet omdat deze sectoren minder securitybewust zijn, maar juist omdat ze aantrekkelijke doelwitten vormen door hun toegang tot meerdere klantomgevingen.
Top-infostealers
Volgens ESET was JS/Spy.Banker (Magecart) in 2024 de meest gedetecteerde infostealer in Nederland. Deze digitale skimmer steelt betaalgegevens tijdens het afrekenen in webshops, vaak door kwetsbaarheden in verouderde systemen te misbruiken.
Het onderzoek van Flashpoint geeft aan dat wereldwijd Redline de meest voorkomende infostealer was, verantwoordelijk voor 9,9 miljoen geïnfecteerde apparaten – 43 procent van het totaal in 2024. Na Redline volgen RisePro, SteaC, Lumma Stealer en Meta Stealer als meest voorkomende varianten, die samen goed waren voor nog eens 7 miljoen infecties.
“Infostealers zijn effectieve tools vanwege hun lage kosten, gebruiksgemak en toegankelijkheid”, zegt Ian Gray, vice-president Intelligence bij Flashpoint. Een infostealer kostte in 2024 gemiddeld slechts 200 dollar per maand, volgens het bedrijf.
Van infostealer naar ransomware
Het gevaar van infostealers ligt niet alleen in datadiefstal. Ze fungeren vaak als voorportaal voor ernstigere aanvallen. “Infostealers zijn steeds vaker de initiële toegangspoort voor ransomware-campagnes door het stelen van inloggegevens, systeeminformatie en browserdata”, waarschuwt Gray. KELA’s onderzoek naar slachtoffers van drie grote ransomwaregroepen (Play, Akira en Rhysida) toont een verontrustend patroon: gecompromitteerde toegangsgegevens werden vaak 5 tot 95 dagen vóór de daadwerkelijke ransomware-aanval al gedeeld op cybercrime-platforms.
Onderzoeken van zowel IBM X-Force als Verizon onderstrepen de nauwe band tussen infostealers en vervolgaanvallen zoals ransomware. Uit het Verizon Data Breach Investigations Report 2025 blijkt dat meer dan de helft van alle ransomware-slachtoffers eerst in infostealer-logs voorkwam. Met andere woorden: gestolen inloggegevens vormen steeds vaker het startpunt van ernstigere aanvallen.
Een concreet voorbeeld is Schneider Electric. Het bedrijf werd in november 2024 getroffen door Hellcat-ransomware nadat aanvallers toegang kregen tot Schneider’s Jira-server via eerder gestolen inloggegevens. Hiermee konden ze 400.000 gebruikersrecords buitmaken.
In april 2024 werden Snowflake-accounts van klanten zonder multi-factor authenticatie (MFA) gecompromitteerd, wat leidde tot datalekken bij circa 165 organisaties, waaronder Santander Bank en Ticketmaster. Op het moment van het incident was MFA aanbevolen, maar nog niet verplicht voor alle accounts. Volgens Flashpoint werden bij deze aanval inloggegevens gebruikt die waren buitgemaakt door zes verschillende infostealer-varianten, waaronder Vidar, RisePro, Redline, Racoon, Lumma Stealer en Meta Stealer.
Maasland: “Een laptop of ander endpoint is een open venster naar de digitale wereld van een gebruiker. Hier zie je direct alle e-mails, berichten en gevoelige informatie in hun meest toegankelijke vorm. Voor criminelen is dat goud waard – ze willen precies daar zijn waar de informatie ontsloten wordt.”
Wat kunnen organisaties doen?
Het goede nieuws is dat er concrete stappen te nemen zijn. De experts zijn het erover eens dat deze drie maatregelen prioriteit hebben:
- Bescherm thuiswerkomgevingen als volwaardige kantoren
“Behandel elk thuiskantoor als een volwaardig kantoor dat bescherming nodig heeft”, adviseert Maasland. Zorg dat endpoint security ook draait op persoonlijke apparaten die voor werk worden gebruikt.
- Gebruik multi-factor authenticatie, altijd en overal
Voor consultants en projectmanagers adviseert Maasland: “Gebruik fysieke beveiligingssleutels om in te loggen, een Yubikey of hardware-matige sleutel. Het is een teken van vermogen als je laat zien dat je je verdiept hebt in digitaal veilig werken.”
- Beheer actief alle toegangsrechten en -accounts
Trend Micro’s onderzoek toont dat 73 procent van de beveiligingsincidenten wordt veroorzaakt door onbekende of onbeheerde assets. Maasland wijst in dit verband op het Snowflake-incident, waarbij aanvallers toegang kregen via een demo-account van een voormalig medewerker: “Dit onderstreept hoe belangrijk het is om niet alleen actieve accounts, maar ook testaccounts en serviceaccounts regelmatig te controleren en bij vertrek van medewerkers alle toegangsrechten in te trekken.”
Tijd voor bewustwording
Waar veel organisaties investeren in geavanceerde, steeds meer AI-gestuurde beveiligingsoplossingen, wordt de werkelijke achilleshiel nog steeds gevormd door een probleem dat al decennia bekend is: gecompromitteerde toegangsgegevens. Het verschil is dat de schaal, systematiek en impact van deze diefstal nu ongekende proporties heeft aangenomen. Fokker waarschuwt: “Criminelen gaan vaak voor de weg van de minste weerstand. De grootste breaches komen nog altijd door gestolen wachtwoorden en slecht gepatchte systemen.”
De basis van effectieve beveiliging is nog altijd informatieverzameling, stelt Maasland. “Weet welke apparaten toegang hebben tot je bedrijfsomgeving, wie er toegang heeft tot welke systemen, en zorg dat deze toegang goed beschermd is – ook, of misschien wel juist, als het om thuiswerkapparaten gaat.”
Infostealers maken pijnlijk duidelijk hoe kwetsbaar organisaties zijn voor relatief eenvoudige, maar uiterst effectieve aanvalstechnieken. De impact reikt verder dan technische infrastructuur: ook menselijke fouten en onzichtbare zwaktes in dagelijkse werkroutines spelen een rol. In veel gevallen is het precies die combinatie die een aanval succesvol maakt.
Kim Loohuis is onafhankelijk IT-journalist
