Martin Zugec, Bitdefender: ‘Richting bieden in onvoorspelbaar cybersecurity-landschap’

Tegelijkertijd erkent Bitdefender dat het cybersecuritylandschap onvoorspelbaar is. Eén onverwachte gebeurtenis – een grote geopolitieke verschuiving, krachtige proof-of-concept code, of de opkomst van een nieuw, herhaalbaar aanvalsscenario – kan de dreigingsomgeving snel doen veranderen. Zugec hierover: “Zie de voorspellingen hieronder over onder meer AI, ransomware en quantum computing als een raamwerk: een vertrekpunt om toekomstige uitdagingen te begrijpen, terwijl we altijd voorbereid blijven op het onverwachte.”

Opkomst van AI

AI: 'Artificially Inflated' Threat
Hoewel we grote voorstanders zijn van AI – we doen al jaren onderzoek naar dit onderwerp en innoveren er dan ook al sinds 2008 mee naast het gebruiken op grote schaal - lieten we ons vorig jaar niet meeslepen door de hype. We weerstonden de verleiding om zelfbewuste AI te voorspellen die zelfstandig kwetsbaarheden opspoort. We voorspelden dat Large Language Models (LLM’s) effectiever zouden worden in het wegnemen van barrières voor social engineering-aanvallen. Onze voorspellingen voor 2025 lijken dan ook sterk op die van vorig jaar, maar zijn verfijnd op meerdere vlakken.

Toename Business Email Compromise (BEC)-aanvallen
BEC is en blijft een serieuze en vaak onderschatte dreiging. Volgens een FBI-rapport uit 2023 veroorzaakte BEC verliezen die 60 keer hoger lagen dan die van ransomware. De dreiging was altijd al aanwezig, maar door de opkomst van AI is het potentieel ervan enorm toegenomen – van deepfakes die leidinggevenden zeer overtuigend imiteren tot het vermogen om individuele communicatiestijlen nauwkeurig na te bootsen. Deze krachtige combinatie, in combinatie met hoge winstkansen, lage bewustwording onder slachtoffers en minimale technische vereisten, maakt BEC een steeds aantrekkelijker optie voor cybercriminelen, vooral wanneer ze AI inzetten.

Nog niet ‘deepfake-proof’?
Waar deepfake-technologie eerder specialistische kennis vereiste, wordt deze nu steeds toegankelijker. Daardoor verandert het van een nichetool in een gemeengoed cybersecuritywapen. Naast bekende toepassingen (zoals het imiteren van leidinggevenden, pig butchering en phishing), moet de brede beschikbaarheid van geavanceerde deepfakes bedrijven dwingen hun processen te herzien.

Zo wordt visuele verificatie – gebruikelijk in de financiële en cryptosector – steeds kwetsbaarder. In Brazilië onthulde een recent politieonderzoek (‘DeGenerative AI’) een grootschalige criminele operatie waarbij deepfakes werden gebruikt om bankprocedures voor het openen van rekeningen te omzeilen. Criminelen creëerden AI-video’s van echte rekeninghouders en omzeilden zo beveiligingssystemen om rekeningen aan te maken voor witwaspraktijken. Deze actie resulteerde in meer dan 550 succesvolle inbraken op accounts en circa 16,3 miljoen euro aan transacties.

LLM’s krijgen (onterecht) de schuld
De druk om waarde te tonen van AI-investeringen leidt tot een gevaarlijke trend. Bedrijven die zwaar investeren in AI, maar moeite hebben om concrete resultaten te behalen, voelen druk om AI-toepassingen te tonen – ongeacht de risico’s. Dit leidt tot roekeloos experimenteren, waarbij snelheid boven veiligheid wordt geplaatst. Teams slaan belangrijke waarborgen over, wat niet alleen het risico op datalekken en compliance-overtredingen verhoogt, maar ook leidt tot het ongecontroleerd inzetten van ‘shadow AI’ door individuen of door kleine teams.

AI-verrijkte ‘supermalware’ blijft marketingtruc
Afgelopen jaar melden wij dit: “Denk bij AI-malware niet aan complexe code die handig je netwerk binnendringt om kwetsbaarheden te vinden, maar eerder aan scripts met lichte aanpassingen in jouw favoriete programmeertaal.” Dat blijft ook voor 2025 gelden. Malware is al extreem dynamisch – Bitdefender verwerkt honderden unieke varianten per minuut. Serieuzere dreigingen zullen AI voornamelijk inzetten voor social engineering, niet voor het bouwen van AI-powered ‘agentic malware’.

Kritieke infrastructuur en ICS-doelwitten
We voorspelden eerder dat AI de drempel zou verlagen voor aanvallen op Industrial Control Systems (ICS) en Supervisory Control and Data Acquisition (SCADA)-systemen. Maar 2024 liet iets zorgwekkender zien. De opkomst van hacktivist-groepen als CARR toont aan dat kritieke infrastructuur op nieuwe manieren wordt aangevallen.

Zo verstoorde de malware FrostyGoop succesvol een Oekraïens energiebedrijf. Het is de eerste ICS-malware die direct het ModbusTCP-protocol manipuleerde. De dreiging wordt nog urgenter gezien de vervaging van ethische grenzen bij ransomwaregroepen en de heropleving van hacktivisme – twee trends die we verderop bespreken.

Vooral krachtig hulpmiddel
AI is voorlopig een krachtiger hulpmiddel voor verdedigers dan voor aanvallers. Bestaande aanvalsmethoden blijven effectief en vergen minder moeite dan AI-innovatie. Deze tijdelijke voorsprong biedt verdedigers een kans. Ironisch genoeg vormen fictieve AI-dreigingen soms een grotere bedreiging dan de verwaarlozing van basismaatregelen.

Ransomware

Turbulent jaar

2024 was een turbulent jaar voor ransomware. Grote namen als LockBit en ALPHV/BlackCat werden uitgeschakeld, wat leidde tot een herstructurering van het Ransomware-as-a-Service (RaaS)-landschap. Nieuwe, minder gevestigde groepen vulden het gat, wat leidde tot meer volatiliteit en meer aanvallen, vooral in de zorgsector.

Ransomware-ecosysteem meer gefragmenteerd
De blauwdruk voor een succesvolle RaaS-operatie is gemeengoed geworden. Dankzij gelekte codebases van groepen als LockBit en Babuk kunnen nieuwe actoren snel hun eigen RaaS lanceren. Affiliates werken met meerdere groepen tegelijk, kiezen per aanval het meest geschikte type ransomware, en verhogen zo de concurrentie en onvoorspelbaarheid.

De zorgsector in gevaar
Steeds meer RaaS-groepen laten beperkingen op doelwitten varen – inclusief de zorg. Het resultaat: meer opportunistische aanvallen gebaseerd op gebruikte software, niet op sector. De zorgsector is kwetsbaar en lucratief gebleken, met record ransombetalingen tot wel EUR 68 miljoen. Wetgeving zoals de ‘Health Infrastructure Security and Accountability Act’ is een stap, maar structurele verandering zal tijd kosten.

Van datadiefstal naar kwetsbaarheidsexploitatie
Ransomwaregroeperingen gebruiken steeds sneller nieuwe kwetsbaarheden. In 2024 werden er 40.011 gerapporteerd (tegen 18.349 in 2020, volgens NIST NVD). Deze toename versterkt het misbruik van kwetsbaarheden in enterprise-software voor wat betreft aanvallen op edge devices. Data-exfiltratie blijft een hoofddoel. Desondanks focussen organisaties nog vaak op encryptie in plaats van dataverliespreventie.

State-Actors en ransomware
Ransomware is aantrekkelijk als APT (Advanced Persistant Threats), zowel voor inkomsten (bijvoorbeeld Rusland en Noord-Korea) als voor verstoring van tegenstanders. De lijn tussen cybercrime en spionage vervaagt, wat toeschrijving bemoeilijkt en risico op repercussies verkleint. APT’s kunnen zo profiteren van de opbrengsten en verstoringen die ransomware biedt, met behoud van plausibele ontkenning.

Hacktivisme

Heropleving met ransomware-randje
De laatste jaren domineerden financieel gemotiveerde aanvallen het landschap. Hacktivisme was marginaal (<1%). Maar 2025 zou een kentering kunnen brengen.

Geen banners en DDoS meer, maar ransomware
Hacktivistengroepen gebruiken steeds vaker cybercriminele middelen om hun doelen te financieren of kracht bij te zetten. Denk aan groepen als CiberInteligenciaSV, die kritieke infrastructuur aanvallen.

GenZ-cybercriminelen
Groepen als Scattered Spider en Lapsus$, bestaande uit jongeren (16–25 jaar) uit VS, VK en Canada, combineren financiële motieven met de drang naar faam. Ondanks arrestaties blijven ze actief dankzij een gedecentraliseerde structuur (1000+ leden).

Russische tech ontmoet westerse flair
We verwachten meer samenwerking tussen Engelstalige en Russischtalige groepen. De combinatie van technische skills (Russisch) en social engineering (Engelstalig) maakt deze allianties krachtig. Voorbeelden zijn al zichtbaar, zoals CyberVolk en KillSec – laatstgenoemde haalde zelfs onze top 10 RaaS-lijst.

Quantumcomputing

De sprong (nog) te ver
Hoewel breed beschikbare quantumcomputers nog jaren op zich laten wachten (mogelijk eind dit decennium), is het tijd om risico’s serieus te nemen.

Harvest now, decrypt later
Quantumcomputers vormen een serieuze bedreiging voor huidige encryptiestandaarden. Cybercriminelen stelen nu al versleutelde data om die later, met quantumtechnologie, te ontcijferen. Daarom werkt NIST aan post-quantumcryptografie (PQC). Drie standaarden zijn inmiddels afgerond: FIPS 203, 204 en 205 (FIPS 206 volgt binnenkort). Risico’s zijn al aanwezig – begin nu met assessments en planning.

Conclusie

2025 wordt opnieuw een jaar waarin alle aanvalsvectoren zullen toenemen. Belangrijker dan ooit is het besef dat ransomware sinds 2017 continu evolueert. Volg trends nauwlettend, maar focus vooral op de basis: defense-in-depth, gelaagde beveiliging en het opbouwen van capaciteiten – niet enkel op tools.

Onze whitepaper ‘Stopping Ransomware: A Technical Deep Dive into Attack Vectors & Mitigation Strategies with Bitdefender’ biedt handige inzichten en koppelt actuele ransomwaretactieken aan verdedigingsmaatregelen. We houden dit document voortdurend actueel met de nieuwste inzichten en best practices. Wil je meer weten over Bitdefender en onze oplossingen, neem dan contact op met hvanwissen@bitdefender.com of sales@dcc-nederland.nl.

Door: Bitdefender