Fortinet maakt vandaag de beschikbaarheid bekend van het ‘2025 Global Threat Landscape Report’ van FortiGuard Labs. Deze nieuwe editie van het jaarlijkse rapport biedt een momentopname van het bedreigingslandschap en trends in 2024. Dit omvat een uitgebreide analyse van alle tactieken die voor cyberaanvallen worden gebruikt, zoals beschreven in het MITRE ATT&CK-framework. Volgens de onderzoeksgegevens maken cybercriminelen steeds vaker gebruik van automatisering, alomtegenwoordige tools en AI om de voorsprong die beveiligingsprofessionals traditioneel genoten systematisch uit te hollen.
“Als ons nieuwe Global Threat Landscape Report iets duidelijk maakt, is het wel dat cybercriminelen hun inspanningen opvoeren en een beroep op AI en automatisering doen om met ongekende snelheid en op ongekende schaal te kunnen opereren”, zegt Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs, de onderzoeksdivisie van Fortinet. “Het traditionele draaiboek van beveiligingsprofessionals is niet langer toereikend. Organisaties moeten overstappen op een proactieve verdedigingsstrategie die gebruikmaakt van de nieuwste bedreigingsinformatie en wordt ondersteund door AI, zero trust en voortdurend beheer van het aanvalsoppervlak. Dit is nodig om het snel veranderende bedreigingslandschap de baas blijven.”
Belangrijke bevindingen die aan bod komen in het nieuwe FortiGuard Labs Global Threat Landscape Report zijn onder meer:
- Geautomatiseerde scans bereiken een recordniveau – Cybercriminelen maken gebruik van geautomatiseerde wereldwijde scans om munt te slaan uit recent ontdekte kwetsbaarheden. Het aantal actieve scans in cyberspace bereikte in 2024 een ongekende hoogte. Wereldwijd was er sprake van een stijging van 16,7% ten opzichte van het jaar daarvoor. Dit wijst op een geavanceerde en grootschalige verzameling van informatie over kwetsbaarheden binnen digitale infrastructuren. FortiGuard Labs observeerde miljarden scans per maand, wat neerkomt op 36.000 scans per seconde. Cybercriminelen scherpen duidelijk hun focus aan op het in kaart brengen van kwetsbaarheden in het Session Initiation Protocol (SIP), het Remote Desktop Protocol (RDP) en OT/IoT-protocollen zoals Modbus TCP.
- Marktplaatsen vereenvoudigen de toegang tot met zorg samengestelde exploit kits – In 2024 deden online forums op het dark web steeds vaker dienst als geavanceerde marktplaats voor exploit kits. Er werden in dat jaar meer dan 40.000 nieuwe kwetsbaarheden toegevoegd aan de National Vulnerability Database van de Amerikaanse overheid. Dat is 39% meer dan in 2023. Er circuleren niet alleen zero day kwetsbaarheden op het dark web. Het aanbod van initial access brokers (makelaars in ingangspunten voor bedrijfsnetwerken) omvat steeds vaker gestolen aanmeldingsgegevens van bedrijven (20%), RDP-toegang (19%), toegang tot beheerpanelen (13%) en toegang web shells, oftewel interfaces die toegang op afstand tot webservers bieden (12%). FortiGuard Labs observeerde vorig jaar ook een toename met 500% van het aantal aangeboden logbestanden van systemen die met infostealer-malware waren besmet. Er werden 1,7 miljard gestolen aanmeldingsgegevens via deze forums van de criminele onderwereld gedeeld.
- Door AI ondersteunde cyberaanvallen worden in rap tempo opgeschaald – Cybercriminelen maken gebruik van AI om hun phishing-mails realistischer te laten lijken. Ze omzeilen traditionele beveiligingsmechanismen en maken hun cyberaanvallen effectiever en lastiger te detecteren. Tools als FraudGPT, BlackmailerV3 en ElevenLabs dragen bij aan schaalbaarder, geloofwaardiger en effectievere phishing-campagnes. In tegenstelling tot publiekelijk toegankelijke tools zijn er geen ethische beperkingen aan verbonden.
- Het aantal gerichte aanvallen op vitale sectoren neemt toe – Sectoren als de maakindustrie, gezondheidszorg en financiële dienstverlening blijven kampen met een forse toename van het aantal gerichte aanvallen op sectorspecifieke kwetsbaarheden. Favoriete doelwitten in 2024 waren de maakindustrie (17%), zakelijke dienstverlening (11%), de bouwsector (9%) en de retailsector (9%). Zowel staatshackers als exploitanten van Ransomware-as-a-Service (RaaS) richtten hun pijlen op deze verticale markten. De Verenigde Staten kreeg het daarbij het hardst te verduren (61%), gevolgd door het Verenigd Koninkrijk (6%) en Canada (5%).
- Beveiligingsrisico’s rond de cloud en IoT-apparatuur rijzen de pan uit – Cloudomgevingen blijven een gewild doelwit. Cybercriminelen maken misbruik van hardnekkige kwetsbaarheden zoals open storage buckets, identiteiten met te veel rechten en verkeerd geconfigureerde IT-services. Bij 70% van alle geobserveerde incidenten meldden de aanvallers zich aan op netwerken vanuit een ongebruikelijke geografische regio. Daarmee blijkt dat er voor de beveiliging van de cloud een cruciale rol is weggelegd voor identiteitsmonitoring.
- Aanmeldingsgegevens vormen de munteenheid van cybercriminelen – In 2024 deelden cybercriminelen ruim 100 miljard gestolen aanmeldingsgegevens via forums op het dark web. Deze stijging van 42% ten opzichte van het voorgaande jaar was voornamelijk debet aan de opkomst van combo lists. Dit zijn lijsten met combinaties van gestolen gebruikersnamen, wachtwoorden en e‑mailadressen. Ruim de helft van alle posts op het dark web hadden betrekking op gelekte databases. Deze stelden cybercriminelen in staat tot het automatiseren van grootschalige credential stuffing-aanvallen. Bekende bendes als BestCombo, BloddyMery en ValidMail waren in deze periode het meest actief. Zij verlagen de instapdrempel voortdurend door pakketten van geverifieerde aanmeldingsgegevens aan te bieden. Dit resulteert in een opleving in gekaapte accounts, financiële fraude en bedrijfsspionage.
Aanbevelingen voor het versterken van de beveiliging tegen nieuwe cyberbedreigingen
Het Global Threat Landscape Report van Fortinet biedt een rijkdom aan informatie over de laatste tactieken en technieken van cybercriminelen, aangevuld met aanbevelingen en praktische inzichten voor CISO’s en beveiligingsteams. Het rapport reikt strategieën aan die hen helpen om cybercriminelen en nieuwe bedreigingen een stap voor te blijven.
Het rapport van dit jaar bevat een ‘CISO Playbook for Adversary Defense’. Dit draaiboek brengt een aantal strategische aandachtspunten voor CISO’s in kaart:
- Traditionele detectie inruilen voor voordurend beheer van de blootstelling aan cyberbedreigingen – Deze proactieve aanpak legt nadruk op voortdurend beheer van het aanvalsoppervlak, beveiligingsoefeningen die het gedrag van cybercriminelen simuleren, het op prioriteit indelen van het verhelpen van kwetsbaarheden op basis van hun risiconiveau en geautomatiseerde detectie- en beschermingsmechanismen. Het draaiboek raadt aan om gebruik te maken van breach & attack simulation (BAS)-tools voor regelmatige evaluaties van de effectiviteit van de beveiliging van endpoints, het netwerk en de cloud tegen aanvalsscenario’s die in de praktijk worden aangetroffen. Dit waarborgt veerkrachtige bescherming tegen misbruik van kwetsbaarheden en verplaatsingen van cybercriminelen door het netwerk.
- Simulaties van in de praktijk voorkomende cyberaanvallen – CISO’s moeten inzetten op oefeningen die het gedrag van cybercriminelen weerspiegelen, red en purple teaming en het gebruik van MITRE ATT&CK voor het testen van de beschermingsmechanismen tegen cyberbedreigingen als ransomware-aanvallen en spionagecampagnes.
- Reductie van de blootstelling van het aanvalsoppervlak – Een ander belangrijk aandachtspunt is de inzet van attack surface management (ASM)-tools voor de detectie van blootgestelde IT-activa, gelekte aanmeldingsgegevens en kwetsbaarheden. Dit moet worden gecombineerd met continue monitoring van forums op het dark web forums op nieuwe bedreigingen.
- Prioriteit toekennen aan kwetsbaarheden met een hoog risico – CISO’s moeten hun focus richten op het verhelpen van kwetsbaarheden waarover cybercriminelen actief op fora discussiëren. Daarnaast moeten zij gebruikmaken van scoresystemen als EPSS en CVSS voor het op prioriteit indelen van bedreigingen. Dit is nodig voor effectief patchbeheer.
- Op het dark web gedeelde informatie benutten – Andere aandachtspunten zijn het monitoren van marktplaatsen op het dark web op nieuwe ransomware-diensten en de coördinatieactiviteiten van hacktivisten. Dat laatste is nodig om bedreigingen zoals DDoS-aanvallen en bekladding van websites voor te zijn.
De FortiGuard Labs Advisory Services combineren geavanceerde technologie en door beveiligingsexperts verzorgde diensten om organisaties te helpen om hun beveiliging te versterken om cyberbedreigingen voor te zijn. In het geval van een beveiligingsincident biedt FortiGuard Labs snelle en effectieve respons en diepgaande forensische analyses om de impact te minimaliseren en toekomstige indringers te voorkomen. Daarmee biedt het organisaties uitgebreide bescherming in het snel veranderende digitale landschap van vandaag.
