În ultimii ani, majoritatea companiilor au investit în soluții de securitate: antivirus, firewall, backup, chiar și traininguri de awareness. Cu toate acestea, incidentele de securitate continuă să crească — iar în multe cazuri, problema nu este nici tehnologia, nici lipsa resurselor.

Problema reală este că atacurile nu mai arată ca înainte.

Nu mai vorbim despre brute force, viruși evidenți sau exploit-uri spectaculoase. Atacurile moderne sunt mult mai simple — și mai periculoase:

– folosesc date deja furate
– folosesc acces legitim
– evită complet sistemele tradiționale de detecție

În centrul acestui model stă o amenințare subestimată: infostealer-ul.

Ce este un infostealer (și de ce ar trebui să te preocupe imediat)

Un infostealer este un tip de malware specializat în colectarea și exfiltrarea silențioasă de date sensibile de pe un sistem compromis.

Acesta poate extrage:

• parole salvate în browser
• cookies de autentificare (session hijacking)
• credențiale VPN, RDP
• token-uri de acces
• informații din aplicații (Teams, Outlook, Slack)
• portofele crypto (unde e cazul)

Diferența față de ransomware sau troieni clasici:
Infostealer-ul NU distruge nimic. Nu criptează. Nu face zgomot.

Doar colectează și vinde accesul.

Cum funcționează un atac modern bazat pe infostealer

Etapa 1: Compromiterea inițială

Cel mai frecvent:

• download software piratat
• atașamente malițioase
• site-uri compromise
• extensii browser infectate

Etapa 2: Colectarea datelor

În câteva minute:

• extrage tot ce există în browser
• colectează parole stocate
• salvează cookies active

Aici apare un risc major: cookie-urile pot permite logarea fără parolă și fără MFA.

Etapa 3: Vânzarea pe underground

Datele sunt vândute pe marketplace-uri:

• acces Microsoft 365
• acces VPN corporativ
• conturi LinkedIn / email

Prețuri:

• cont angajat: 10–100€
• acces admin: sute sau mii €

Etapa 4: Exploatarea accesului

Atacatorii NU “sparg” sistemele.

Se loghează.

Rezultatul:

• nu există alertă clasică
• nu există comportament suspect evident
• activitatea pare legitimă

De ce este această amenințare atât de periculoasă pentru business

1. Evită complet securitatea tradițională

Antivirusul caută:

• fișiere malițioase
• comportamente suspecte

Dar aici:

• login legitim
• IP aparent normal
• user real

Sistemele tradiționale nu detectează nimic.

2. Creează acces persistent nedetectat

Un cont compromis permite:

• acces continuu
• mișcare laterală
• colectare date în timp

în multe cazuri, atacatorii stau săptămâni sau luni invisibili.

3. Este punctul de plecare pentru ransomware

Majoritatea atacurilor ransomware moderne NU încep cu exploit.

încep cu:

• login compromis
• acces valid
• escaladare progresivă

Exemple reale (adaptate context business)

Scenariu 1: Compromitere prin laptop personal

Un angajat instalează un software piratat pe laptop personal → infostealer → parole browser → acces O365 → acces SharePoint.

Rezultat: exfiltrare date + pregătire ransomware.

Scenariu 2: Cookie hijacking

Browser compromis → cookies active → login direct în aplicații cloud.

MFA devine irelevant.

Scenariu 3: VPN compromis

Credentiale salvate → acces remote în rețea.

Atacatorul devine “intern”.

Semne că firma ta este deja compromisă

• logări din locații neobișnuite
• logări simultane din mai multe locații
• resetări frecvente de parole
• acces anormal la fișiere
• comportament diferit al userilor

Problema: aceste semne sunt adesea ignorate.

De ce măsurile clasice nu sunt suficiente

Majoritatea companiilor au:

• antivirus
• firewall
• backup

Dar lipsesc:

• vizibilitate asupra comportamentului
• corelare evenimente
• detecție anomalii

Cu alte cuvinte: protejezi infrastructura, dar nu identitatea.