Dreigingsactoren profiteren van AI-ontwikkelingen met als gevolg een toename van bedreigingen, industrialisatie van browserdiefstal en geconcentreerde cloudaanvallen. AI verandert niet alleen de manier waarop we werken. Het verandert ook de manier waarop cybercriminelen aanvallen uitvoeren en dreigingsactoren AI misbruiken om op grote schaal schadelijke code loaders te produceren, browsergegevens te stelen en cloudaanvallen te versnellen, volgens een nieuw rapport van Elastic, Search AI-bedrijf.
Het 2025 Global Threat Report is gebaseerd op meer dan 1 miljard datapunten uit echte productieomgevingen. Hieruit blijkt dat generieke bedreigingen – meestal loaders die met behulp van AI zijn gebouwd – het afgelopen jaar met 15,5% zijn toegenomen, terwijl de uitvoering van kwaadaardige code op Windows bijna is verdubbeld tot 32,5%.
Met AI gecreëerde malware en makkelijke toegang tot gestolen browsergegevens zorgen voor een nieuwe groep slechte actoren die minder afhankelijk zijn van sluipaanvallen en zich richten op continue, gestage pogingen om toegang te krijgen tot bedrijfsnetwerken.
“Aanvallers verschuiven van onopvallendheid naar snelheid en lanceren met minimale inspanning golven van opportunistische aanvallen”, gaf Devon Kerr, hoofd van Elastic Security Labs en directeur van Threat Research, aan. “Deze ontwikkeling laat zien hoe urgent het is voor verdedigers om identiteitsbescherming te versterken en hun detectiestrategieën aan te passen voor dit nieuwe tijdperk van snelle aanvallen.”
Browsers zijn de nieuwe frontlinie
- Een op de acht malwareversies richtte zich op browsergegevens, waarbij het stelen van inloggegevens de meest voorkomende onderliggende techniek was.
- Infostealers maken steeds vaker gebruik van Chromium-gebaseerde browsers om ingebouwde beveiligingen te omzeilen.
Uitvoering is belangrijker dan ontwijking
- Op Windows is het aantal uitvoeringstactieken bijna verdubbeld tot 32%, waarmee het voor het eerst in drie jaar ontwijkingstactieken heeft ingehaald.
- De GhostPulse malware was verantwoordelijk voor 12% van de detecties, vaak in combinatie met infostealers zoals Lumma (6,67%) en Redline (6,67%).
AI verlaagt de drempel
- Generieke bedreigingen zijn met 15,5%, mede door aanvallers die LLM's inzetten om eenvoudige maar effectieve schadelijke loaders en tools te produceren.
- Kant-en-klare malwarefamilies blijven veel gebruikt, met RemCos (9,33%) en CobaltStrike (~2%).
Cloudidentiteit staat onder druk
- Meer dan 60% van de cloudbeveiligingsincidenten had betrekking tot initiële toegang, permanente toegang of toegang op basis van credentials.
- Authenticatieproblemen in Microsoft Entra ID vielen op: 54% van de afwijkende Azure-signalen kwam uit auditlogs, oplopend tot bijna 90% wanneer alle Entra-telemetrie werd meegenomen.
Arno van de Velde, security specialist van Elastic Nederland: “Ook in Nederland zien we dat cybercriminelen steeds slimmer worden in het gebruiken van AI. Om je te verdedigen tegen de nieuwe golf aan AI-innovaties van dreigingsactoren zijn de volgende punten belangrijk: sterkere authenticatie, continue monitoring buiten de traditionele grenzen en het beveiligen van de volledige digitale toeleveringsketen.”
Ronald van Loon, Principal Analyst Intelligent World, Global Top 10 Influencer in Data & AI: “AI verlaagt de drempel voor cybercriminelen, waardoor geavanceerde aanvallen op grote schaal toegankelijk worden. Organisaties moeten datavisibiliteit, automatisering en menselijke expertise combineren om weerbaarheid op te bouwen en cyberbedreigingen voor te blijven."
Hoewel Elastic Security een diepgaande verdedigingsaanpak hanteert met Elastic XDR waarmee bedreigingen in het hele IT-ecosysteem uniform kunnen worden gedetecteerd, onderzocht en aangepakt, inclusief door AI gegenereerde malware, zijn er aanvullende stappen die organisaties kunnen nemen om hun verdediging te versterken:
- Omarm automatisering met menselijk toezicht: gebruik AI-ondersteunde detectie en gedragsanalyse om de respons te versnellen, maar behoud menselijke beoordeling bij cruciale beslispunten.
- Versterk de browserbeveiliging: maak plug-ins, extensies en integraties met derde partijen veiliger en vergroot de zichtbaarheid van pogingen tot diefstal van inloggegevens.
- Verbeter identiteitsvalidatie: investeer in sterkere identiteitsverificatie, verstevig know-your-customer-praktijken (KYC) en behandel identiteitsbeheer als een essentiële beveiliging.