Fortinet Threat Report: recordaantal geautomatiseerde AI-cyberaanvallen

Fortinet heeft zijn ‘2025 Global Threat Landscape Report’ gepubliceerd. Deze nieuwe editie van het jaarlijkse rapport biedt een momentopname van het bedreigingslandschap en trends, gesignaleerd door FortiGuard labs. Het rapport omvat een uitgebreide analyse van alle tactieken die voor cyberaanvallen worden gebruikt, zoals beschreven in het MITRE ATT&CK-framework. Volgens de onderzoeksgegevens maken cybercriminelen steeds vaker gebruik van automatisering, beschikbare tools en AI om de voorsprong die beveiligingsprofessionals traditioneel genoten systematisch uit te hollen.

Belangrijke bevindingen die aan bod komen in het nieuwe FortiGuard Labs Global Threat Landscape Report zijn onder meer:

• Geautomatiseerde scans bereiken een recordniveau – Cybercriminelen maken gebruik van geautomatiseerde wereldwijde scans om munt te slaan uit recent ontdekte kwetsbaarheden. Het aantal actieve scans bereikte in 2024 een ongekende hoogte, wereldwijd was er sprake van een stijging van 16,7% ten opzichte van het jaar daarvoor. Dit wijst op een geavanceerde en grootschalige verzameling van informatie over kwetsbaarheden binnen digitale infrastructuren. FortiGuard Labs observeerde miljarden scans per maand, wat neerkomt op 36.000 scans per seconde. Cybercriminelen scherpen duidelijk hun focus aan op het in kaart brengen van kwetsbaarheden in het Session Initiation Protocol (SIP), het Remote Desktop Protocol (RDP) en OT/IoT-protocollen zoals Modbus TCP.

• Marktplaatsen vereenvoudigen de toegang tot met zorg samengestelde exploit kits – In 2024 deden online forums op het dark web steeds vaker dienst als geavanceerde marktplaats voor exploit kits. Er werden in dat jaar meer dan 40.000 nieuwe kwetsbaarheden toegevoegd aan de National Vulnerability Database van de Amerikaanse overheid. Dat is 39% meer dan in 2023. Er circuleren niet alleen zero day kwetsbaarheden op het dark web. Het aanbod van initial access brokers (makelaars in toegangspunten voor bedrijfsnetwerken) omvat steeds vaker gestolen aanmeldingsgegevens van bedrijven (20%), RDP-toegang (19%), toegang tot beheerpanelen (13%) en toegang web shells, oftewel interfaces die toegang op afstand tot webservers bieden (12%). FortiGuard Labs observeerde vorig jaar ook een toename met 500% van het aantal aangeboden logbestanden van systemen die met infostealer-malware waren besmet. Er werden 1,7 miljard gestolen aanmeldingsgegevens via deze forums van de criminele onderwereld gedeeld.

• Door AI ondersteunde cyberaanvallen worden in rap tempo opgeschaald – Cybercriminelen maken gebruik van AI om hun phishing-mails realistischer te laten lijken. Ze omzeilen traditionele beveiligingsmechanismen en maken hun cyberaanvallen effectiever en lastiger te detecteren. Tools als FraudGPT, BlackmailerV3 en ElevenLabs dragen bij aan schaalbaarder, geloofwaardiger en effectievere phishing-campagnes. In tegenstelling tot publiekelijk toegankelijke tools zijn er geen ethische beperkingen aan verbonden.

• Het aantal gerichte aanvallen op vitale sectoren neemt toe – Sectoren als de maakindustrie, gezondheidszorg en financiële dienstverlening blijven kampen met een forse toename van het aantal gerichte aanvallen op sectorspecifieke kwetsbaarheden. Favoriete doelwitten in 2024 waren de maakindustrie (17%), zakelijke dienstverlening (11%), de bouwsector (9%) en de retailsector (9%). Zowel staatshackers als exploitanten van Ransomware-as-a-Service (RaaS) richtten hun pijlen op deze verticale markten. De Verenigde Staten kreeg het daarbij het hardst te verduren (61%), gevolgd door het Verenigd Koninkrijk (6%) en Canada (5%).

• Beveiligingsrisico’s rond de cloud en IoT-apparatuur rijzen de pan uit – Cloudomgevingen blijven een gewild doelwit. Cybercriminelen maken misbruik van hardnekkige kwetsbaarheden zoals open storage buckets, identiteiten met te veel rechten en verkeerd geconfigureerde IT-services. Bij 70% van alle geobserveerde incidenten meldden de aanvallers zich aan op netwerken vanuit een ongebruikelijke geografische regio. Daarmee blijkt dat er voor de beveiliging van de cloud een cruciale rol is weggelegd voor identiteitsmonitoring.

• Aanmeldingsgegevens vormen de munteenheid van cybercriminelen – In 2024 deelden cybercriminelen ruim 100 miljard gestolen aanmeldingsgegevens via forums op het dark web. Deze stijging van 42% ten opzichte van het voorgaande jaar was voornamelijk debet aan de opkomst van combo lists. Dit zijn lijsten met combinaties van gestolen gebruikersnamen, wachtwoorden en e-mailadressen. Ruim de helft van alle posts op het dark web hadden betrekking op gelekte databases. Deze stelden cybercriminelen in staat tot het automatiseren van grootschalige credential stuffing-aanvallen. Bekende bendes als BestCombo, BloddyMery en ValidMail waren in deze periode het meest actief. Zij verlagen de instapdrempel door pakketten van geverifieerde aanmeldingsgegevens aan te bieden. Dit resulteert in een opleving in gekaapte accounts, financiële fraude en bedrijfsspionage.

“Als ons nieuwe Global Threat Landscape Report íets duidelijk maakt, is het wel dat cybercriminelen hun inspanningen opvoeren en een beroep op AI en automatisering doen om met ongekende snelheid en op ongekende schaal te kunnen opereren”, zegt Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs, de onderzoeksdivisie van Fortinet. “Het traditionele draaiboek van beveiligingsprofessionals is niet langer toereikend. Organisaties moeten overstappen op een proactieve verdedigingsstrategie die gebruikmaakt van de nieuwste bedreigingsinformatie en wordt ondersteund door AI, zero trust en voortdurend beheer van het aanvalsoppervlak. Dit is nodig om het snel veranderende bedreigingslandschap de baas blijven.”