Uit het laatste Digital Defense Report 2025 nieuws van Microsoft blijkt dat de meeste cyberaanvallen die wereldwijd worden waargenomen, worden gedreven door financiële motieven in plaats van spionage of sabotage. De bevindingen laten zien hoe georganiseerde criminele groepen kwetsbaarheden in zowel de publieke als de private sector uitbuiten om winst te maken, vaak door middel van ransomware, diefstal van inloggegevens en afpersing van gegevens.
Volgens Microsoft zijn financieel gemotiveerde activiteiten verantwoordelijk voor bijna driekwart van alle aanvallen die het tussen juni 2023 en juni 2024 heeft geanalyseerd. Het rapport is gebaseerd op gegevens die zijn verzameld in het wereldwijde threat intelligence-netwerk van Microsoft, dat dagelijks meer dan 78 biljoen beveiligingssignalen controleert.
Uit het rapport blijkt dat financiële cybercriminaliteit de door de staat gesponsorde operaties blijft overtreffen, zowel in omvang als in frequentie. Ransomware en diefstal van informatie blijven de belangrijkste aanvalsmethoden. Deze operaties beginnen vaak met phishing-campagnes of het misbruiken van niet-gepatchte softwarekwetsbaarheden voordat ze overgaan tot diefstal of versleuteling van waardevolle gegevens.
Microsoft merkte op dat aanvallers zijn overgestapt op kortere, meer gerichte ransomware-campagnes die zijn ontworpen om slachtoffers onder druk te zetten om snel te betalen. Criminele groepen maken ook steeds vaker gebruik van “ransomware-as-a-service”-modellen, waardoor minder technisch onderlegde actoren toegang kunnen kopen tot kant-en-klare aanvalstools.
Het rapport benadrukt dat financiële misdaadnetwerken nu meer gestructureerd zijn als traditionele bedrijven. Ze hebben hiërarchieën, toeleveringsketens en communicatiesystemen in de stijl van klantenondersteuning om betalingen en onderhandelingen te coördineren.
Toename van diefstal van inloggegevens en social engineering
Naast ransomware vertegenwoordigen diefstal van inloggegevens en social engineering een groeiend deel van de financieel gemotiveerde aanvallen. Microsoft merkt op dat op identiteit gebaseerde bedreigingen een kritiek zwak punt zijn geworden in organisaties. Aanvallers maken vaak gebruik van menselijke fouten door overtuigende phishing-berichten te verzenden, valse inlogportalen te gebruiken of op spraak gebaseerde oplichting te lanceren die is ontworpen om inloggegevens te stelen.
Zodra aanvallers toegang krijgen tot geldige accounts, kunnen ze beveiligingstools omzeilen en zich onopgemerkt lateraal door netwerken bewegen. Het rapport waarschuwt dat deze trend zich blijft uitbreiden ondanks de toegenomen acceptatie van multi-factor authenticatie, wat suggereert dat criminelen hun technieken sneller ontwikkelen dan veel organisaties zich kunnen aanpassen.
Microsoft zag ook een toename van “datamakelaars” binnen het ecosysteem van cybercriminaliteit. Deze actoren zijn gespecialiseerd in de verkoop van gestolen inloggegevens en toegang tot gecompromitteerde netwerken, en bieden een toegangspunt voor ransomware-operators en fraudegroepen.
Door de staat gesponsorde activiteit gaat door, maar richt zich op disruptie
Hoewel financieel gemotiveerde cybercriminaliteit domineert, blijven door de staat gesponsorde aanvallen een ernstig probleem. Volgens de bevindingen van Microsoft worden spionage- en informatieoperaties steeds geavanceerder, met name die welke verband houden met Rusland, China, Iran en Noord-Korea.
Deze campagnes zijn vaak gericht op overheidsinstanties, energie-infrastructuur en telecommunicatienetwerken. Microsoft meldt dat sommige operaties gericht zijn op het verzamelen van inlichtingen, terwijl andere bedoeld zijn om verstoring of verwarring te veroorzaken, met name tijdens geopolitieke conflicten of verkiezingen.
De analisten van het bedrijf merken op dat cyberoperaties die verband houden met geopolitieke spanningen steeds meer verband houden met online desinformatie-inspanningen, die tot doel hebben de publieke perceptie te manipuleren door middel van gecoördineerde campagnes op sociale media.
Kunstmatige intelligentie in cyberoperaties
Het rapport van 2025 onderstreept hoe kunstmatige intelligentie zowel offensieve als defensieve cyberstrategieën verandert. Criminelen gebruiken AI-tools om overtuigendere phishing-e-mails te maken, diefstal van inloggegevens te automatiseren en deepfake-inhoud te ontwikkelen die social engineering-tactieken verbetert.
Tegelijkertijd zetten verdedigers AI-gestuurde analyses in om afwijkingen sneller te detecteren en mogelijke inbreuken te voorspellen. Microsoft benadrukt dat AI beveiligingsteams kan helpen enorme hoeveelheden gegevens in realtime te verwerken, waardoor de respons op incidenten wordt verbeterd en detectievertragingen worden verminderd.
Het rapport waarschuwt echter ook dat het vertrouwen op AI moet worden afgewogen tegen menselijk toezicht. Geautomatiseerde systemen alleen kunnen niet altijd onderscheid maken tussen legitieme en kwaadaardige activiteiten, vooral wanneer aanvallers opzettelijk normaal gebruikersgedrag nabootsen.
Aanbevelingen van Microsoft voor defensie
Om de toenemende schaal en verfijning van financieel gemotiveerde aanvallen tegen te gaan, adviseert Microsoft organisaties zich te concentreren op identiteitsbescherming, kwetsbaarheidsbeheer en bewustzijn van werknemers. Het bedrijf raadt aan om multi-factor authenticatie te implementeren voor alle accounts, systemen snel te patchen en administratieve bevoegdheden te verminderen om blootstelling te beperken.
Het trainen van personeel om phishing-pogingen te herkennen blijft een van de meest effectieve verdedigingen. Microsoft stelt ook voor om een “zero trust”-beveiligingsmodel in te voeren, dat ervan uitgaat dat elk toegangsverzoek kwaadaardig kan zijn totdat het is geverifieerd.
Daarnaast benadrukt het rapport de noodzaak van wereldwijde samenwerking tussen overheden, particuliere bedrijven en onderzoekers op het gebied van cyberbeveiliging. Samenwerking zorgt voor snellere informatie-uitwisseling en gecoördineerde reacties op grootschalige cybercriminaliteit.
De toenemende kosten van cybercriminaliteit
Microsoft schat dat de economische kosten van cybercriminaliteit de komende jaren sterk zullen blijven stijgen, gedreven door de toenemende professionaliteit van criminele netwerken en de uitbreiding van de digitale infrastructuur. Het bedrijf merkt op dat hoewel door de staat gesteunde bedreigingen de aandacht van het publiek trekken, financieel gemotiveerde groepen de meest wijdverspreide schade toebrengen aan zowel individuen als bedrijven.
Het rapport concludeert dat de weerbaarheid van cyberbeveiliging afhangt van constante waakzaamheid, investeringen in preventie en de ontwikkeling van adaptieve verdedigingssystemen. Nu aanvallers hun methoden dagelijks verfijnen, moeten organisaties cyberbeveiliging niet als een project behandelen, maar als een continu proces dat evolueert met technologie en menselijk gedrag.