2025 Cyberincidenttrends: Wat bedrijven moeten weten

Het cyberbeveiligingslandschap blijft zich in een alarmerend tempo ontwikkelen nu kwaadwillenden steeds geavanceerdere technieken toepassen om organisaties in alle sectoren te ontwrichten. Van inbraken die worden aangedreven door kunstmatige intelligentie tot intensievere campagnes van natiestaten, bedrijven worden geconfronteerd met ongekende uitdagingen bij het beschermen van hun digitale middelen en het behouden van operationele veerkracht. Het begrijpen van deze opkomende bedreigingen en het implementeren van robuuste verdedigingsstrategieën is cruciaal geworden voor het overleven van organisaties in het huidige onderling verbonden digitale ecosysteem.

Kunstmatige intelligentie verandert cyberaanvalsmethoden

Kunstmatige intelligentie heeft de manier waarop bedreigers cyberoperaties uitvoeren fundamenteel veranderd. Uit recente gegevens blijkt dat bij ongeveer zestien procent van de gerapporteerde cyberincidenten aanvallers gebruikmaken van AI-tools, met name modellen voor het genereren van afbeeldingen en taal, om geavanceerde social engineering-campagnes uit te voeren. Generatieve AI heeft de effectiviteit van aanvallen drastisch verhoogd door meer overtuigende misleidingen te creëren en grootschalige automatisering van inbraaktools mogelijk te maken.

Bedreigende actoren zetten AI-technologie op verschillende gevaarlijke manieren in. Deepfake-technologie stelt criminelen in staat om realistische audio- en videoverslagen te maken van leidinggevenden en ondersteunend personeel, die ze gebruiken om frauduleuze overboekingen te autoriseren, gebruikersgegevens te stelen en accounts te compromitteren. Een bijzonder verwoestend incident betrof aanvallers die publiekelijk beschikbaar beeldmateriaal gebruikten om overtuigende deepfake video's te maken van de financieel directeur en medewerkers van een bedrijf, waardoor een slachtoffer met succes werd misleid om meer dan vijfentwintig miljoen dollar naar de criminelen over te maken.

Voice phishing, of "vishing", is een andere bedreigingsvector met AI. Aanvallers maken gebruik van door AI gegenereerde scripts en stemklonen in gerichte telefooncampagnes die zijn ontworpen om slachtoffers over te halen schadelijke payloads te downloaden, ondersteuningssessies op afstand te starten of hun inloggegevens vrij te geven. Daarnaast gebruiken bedreigingsactoren generatieve AI-tools om zeer op maat gemaakte phishing-e-mails en sms-berichten te produceren die contextuele details en natuurlijke taalpatronen bevatten, waardoor de kans aanzienlijk toeneemt dat slachtoffers op schadelijke koppelingen klikken en hun inloggegevens afstaan.

Ransomware-aanvallen worden agressiever en duurder

Ransomware blijft organisaties in elke sector teisteren, met recente rapporten die een stijging van twaalf procent op jaarbasis laten zien in ransomware-gerelateerde inbreuken. Aanvallers maken gebruik van steeds agressievere afpersingstechnieken en geavanceerdere tools om de druk op slachtoffers te maximaliseren. Moderne ransomware-campagnes combineren traditionele gegevensversleuteling met verstorende tactieken zoals het lastigvallen van werknemers en bedreigingen van kritieke bedrijfsactiviteiten, wat resulteert in langere downtime en aanzienlijk hogere herstelkosten.

Verschillende opvallende ransomware-groepen hebben recentelijk de krantenkoppen gedomineerd. De Scattered Spider-bedreigingsgroep is weer opgedoken door gebruik te maken van geavanceerde social engineering-technieken om toegang te krijgen tot organisaties in verschillende sectoren. Ondertussen dook de LockBit ransomware begin 2025 weer op met zijn bijgewerkte toolkit, LockBit 4.0, waarbij agressieve afpersingscampagnes werden gelanceerd die met name gericht waren op de particuliere sector in de Verenigde Staten.

Interessant is dat de reacties van organisaties op ransomware-aanvallen lijken te verschuiven. Uit recent onderzoek in de sector blijkt dat ongeveer drieënzestig procent van de ondervraagde organisaties het afgelopen jaar heeft afgezien van het betalen van losgeld. Deze trend suggereert een groeiende weerstand tegen criminele afpersingseisen, maar benadrukt ook de behoefte aan robuuste back-up- en herstelmogelijkheden waarmee organisaties hun activiteiten kunnen herstellen zonder toe te geven aan aanvallers.

Bedreigingen vanuit staten nemen toe bij geopolitieke spanningen

Bedreigers uit nationale staten hebben hun cyberoperaties aanzienlijk geïntensiveerd en richten zich op telecommunicatie-infrastructuur, kritieke systemen en strategische externe dienstverleners. Deze geavanceerde campagnes maken vaak gebruik van cyberspionagetechnieken en geavanceerde misleidingstactieken om gebruikersgegevens te stelen en ongeautoriseerde toegang te krijgen tot gevoelige netwerken en gegevens.

Chinese dreigers hebben hun activiteiten het afgelopen jaar drastisch opgevoerd, waarbij het aantal aanvallen in bepaalde doelsectoren met tweehonderd tot driehonderd procent is toegenomen ten opzichte van het voorgaande jaar. Twee opvallende inbraakcampagnes trokken wereldwijd de aandacht: Salt Typhoon en Volt Typhoon. De operatie Salt Typhoon infiltreerde met succes grote telecommunicatienetwerken in een wijdverspreide cyberspionagecampagne, terwijl Volt Typhoon gepaard ging met het vooraf plaatsen van kwaadaardige code in kritieke infrastructuursystemen, waardoor ernstige bezorgdheid ontstond over mogelijke escalatie in fysieke schade of wijdverspreide ontwrichting.

Actoren die gelieerd zijn aan staten hebben ook gebruik gemaakt van social engineering-tactieken die verder gaan dan technische inbraken. Aan Noord-Korea gelieerde actoren infiltreerden Amerikaanse bedrijven door documentatie te vervalsen en overtuigende kandidaatprofielen te creëren om een baan te krijgen in IT-ondersteunende functies, functies die ze vervolgens gebruikten om gebruikersgegevens te verzamelen en frauduleuze financiële transacties uit te voeren. Aan Iran gelinkte actoren hebben met name generatieve AI-tools gebruikt, waarbij één groep naar verluidt gelekte informatie versterkte via AI-chatbots na een hack-and-leak-campagne gericht op gevoelige gegevens van journalisten in juli 2025.

Aanvallen op de toeleveringsketen van derden vormen een groeiend risico

Aanvallen door derden doen zich voor wanneer bedreigingsactoren partners in de toeleveringsketen, verkopers of softwareleveranciers compromitteren en deze toegang gebruiken om te infiltreren in de netwerken van doelorganisaties. Deze aanvallen hebben vaak een cascade-effect op onderling verbonden systemen en beïnvloeden meerdere downstream entiteiten en klanten die afhankelijk zijn van de aangetaste software of diensten. Recente gegevens over bedreigingen wijzen op een toename van cybercriminaliteit met financiële motieven die zich richt op softwareleveranciers als eerste ingang tot bredere bedrijfsecosystemen.

Door in te breken bij externe leveranciers kunnen aanvallers de traditionele verdedigingslinies omzeilen en bevoorrechte toegang krijgen tot gevoelige bedrijfsomgevingen. Deze bedreigingsactoren maken vaak gebruik van gehoste omgevingen, zoals cloudplatforms en software-as-a-service ecosystemen, waarbij ze zich zijdelings door de instanties van klanten bewegen, referenties verzamelen en op grote schaal bedrijfseigen gegevens exfiltreren. Deze tactiek maakt grootschalige impact mogelijk, vooral wanneer leveranciers meerdere klanten in verschillende sectoren bedienen.

Inbreuken op de toeleveringsketen van derden behoren tot de duurste en meest hardnekkige vectoren van cyberdreigingen waarmee organisaties tegenwoordig worden geconfronteerd. Uit recente gegevens blijkt dat deze inbreuken gemiddeld bijna vijf miljoen dollar kosten en dat het langer duurt om ze te identificeren en in te dammen dan elke andere vorm van cyberinbraak. De complexiteit van de relaties met leveranciers en de langere verblijftijden dragen bij aan vertraagde responsinspanningen en verhoogde blootstelling voor getroffen organisaties.

Essentiële aanbevelingen voor cyberweerbaarheid

Het onderhouden van een uitgebreid, risicogebaseerd cyberbeveiligingsprogramma blijft de meest effectieve verdediging tegen evoluerende cyberbedreigingen. Organisaties moeten prioriteit geven aan het voorbereid zijn op incidenten door middel van oefeningen met belangrijke leidinggevenden, vertegenwoordigers van de raad van bestuur en afdelingshoofden om rollen, escalatieprocedures en besluitvormingskaders te valideren. In deze oefeningen moeten opkomende bedreigingen worden opgenomen, zoals kwaadwillig gebruik van AI om ervoor te zorgen dat teams zijn voorbereid op realistische scenario's.

Beleidsbeheer vereist voortdurende aandacht. Organisaties moeten regelmatig hun incidentbestrijdingsplannen, bedrijfscontinuïteitsprocedures en goedkeuringsprocessen voor communicatie herzien en bijwerken om ervoor te zorgen dat ze de huidige bedreigingen weerspiegelen en voldoen aan de vereisten voor snelle melding, zoals de vereiste van de NIS2-richtlijn van de Europese Unie voor een eerste melding van vierentwintig uur en de SEC-regel van vier werkdagen voor openbaarmaking van materiële incidenten. Bijgewerkte beleidsregels moeten worden verspreid onder de juiste belanghebbenden en moeten ingaan op de risicotolerantie voor opkomende technologieën zoals generatieve AI.

Om de risico's voor derde partijen te beperken, zijn grondige zorgvuldigheidseisen voor leveranciers en contractuele waarborgen nodig. Organisaties moeten kriticiteitsanalyses uitvoeren om leveranciers en componenten te identificeren waarvan de compromittering de grootste operationele impact zou hebben. Belangrijke beschermende maatregelen zijn onder andere het eisen van verklaringen van leveranciers over veilige softwareontwikkelingspraktijken, het implementeren van sterke contractuele bescherming met eisen voor snelle melding van incidenten en auditrechten, het uitvoeren van regelmatige beoordelingen van beveiligingspraktijken van leveranciers en het testen van responsinspanningen door middel van praktijkoefeningen met scenario's voor leveranciers van derden.

Vulnerability management processen moeten snel en systematisch zijn gezien de frequentie van security patches en exploit ontwikkelingen. Organisaties moeten gedocumenteerde processen onderhouden om kwetsbaarheden te identificeren, beoordelen, prioriteren, verhelpen en bij te houden, terwijl ze duidelijk eigenaarschap en deadlines voor herstelactiviteiten toewijzen. Het implementeren van voortdurende bewaking en proactieve patch management tools die controleerbare logboeken produceren, stelt organisaties in staat om kwetsbaarheden aan te pakken voordat bedreigingsactoren er misbruik van kunnen maken.

Tot slot versterkt de betrokkenheid bij branchegroepen en het op de hoogte blijven van updates op het gebied van regelgeving en wetshandhaving de beveiligingspositie van organisaties. Ondanks de recente rechtsonzekerheid rond het delen van informatie over cyberbeveiliging na het vervallen van bepaalde wettelijke bepalingen, blijft het tijdig en gecoördineerd delen van informatie van vitaal belang. Organisaties moeten zich aansluiten bij sectorspecifieke cyberbeveiligingsgroepen om op de hoogte te blijven van sectorspecifieke bedreigingen en best practices, terwijl ze updates van overheidsinstanties volgen en zich abonneren op informatiebulletins over bedreigingen door wetshandhavingsinstanties.

Hoewel het volledig uitsluiten van cyberrisico's onmogelijk blijft, zorgt het prioriteren van incidentresponsbereidheid en naleving van regelgeving voor technische veerkracht en positioneert het organisaties gunstiger vanuit zowel operationeel als juridisch oogpunt wanneer ze onvermijdelijk doelwit worden van cyberaanvallen.

Bron: https://www.mayerbrown.com/en/insights/publications/2025/10/2025-cyber-incident-trends-what-your-business-needs-to-know