Mandiant onthult schokkende versnelling in cyberaanvallen

Het jaarlijkse rapport is gebaseerd op meer dan 500.000 uren aan praktijkonderzoek naar incidenten wereldwijd. "We zien een duidelijke tweedeling," zegt Jurgen Kutscher, Vice President bij Mandiant Consulting. "Criminelen optimaliseren voor snelheid en directe impact, terwijl spionagegroepen juist inzetten op extreme onzichtbaarheid."

De belangrijkste cijfers op een rij

• Dwell Time stijgt: De wereldwijde median dwell time (de tijd dat een aanvaller onopgemerkt blijft) steeg van 11 naar 14 dagen. Bij spionage-incidenten en Noord-Koreaanse IT-infiltranten ligt dit cijfer zelfs op 122 dagen.
• Sectorverschuiving: De High Tech-sector (17%) is nu het belangrijkste doelwit, waarmee de financiële sector (14,6%) van de eerste plaats is gestoten.
• Infectieroutes: Exploits blijven met 32% de grootste boosdoener, maar Voice Phishing (vishing) zag een enorme vlucht en is nu met 11% de tweede meest gebruikte methode.

Van gijzeling naar vernietiging

Een alarmerende trend is de evolutie van ransomware naar recovery denial. Groepen zoals Akira en Qilin versleutelen niet alleen data, maar vernietigen actief de mogelijkheid tot herstel. Ze vallen back-upinfrastructuren, identiteitsdiensten en hypervisors (de software achter virtuele machines) aan.

"Moderne ransomware is een fundamenteel continuïteitsprobleem geworden," aldus het rapport. Door de virtuele laag direct aan te vallen, kunnen aanvallers alle virtuele servers van een bedrijf in één klap onbruikbaar maken. Hierdoor staan organisaties voor een onmogelijke keuze: betalen of het hele netwerk vanaf de grond opnieuw opbouwen.

De onzichtbare dreiging op de 'Edge'

Terwijl criminelen haast hebben, graven spionagegroepen zich in op locaties waar traditionele beveiligingstools niet komen: netwerkapparatuur zoals VPN-concentrators en routers (de zogenaamde edge devices).

Omdat deze apparaten vaak geen standaard detectiesoftware (EDR) ondersteunen, kunnen aanvallers ongezien inloggegevens onderscheppen. Mandiant waarschuwt dat aanvallers vaak al binnen zijn voordat er überhaupt een beveiligingsupdate beschikbaar is (Zero-Day). In sommige gevallen bleven spionnen bijna 400 dagen onopgemerkt, ver buiten de standaard bewaartermijn van logbestanden.

AI: De nieuwe medeplichtige

Hoewel 2025 volgens Mandiant nog niet het jaar was van de 'volledig door AI veroorzaakte hack', wordt de technologie wel steeds vaker misbruikt. Malware-families zoals PROMPTFLUX communiceren tijdens de aanval direct met AI-modellen om detectie te omzeilen. Ook worden AI-tools binnen bedrijfsnetwerken misbruikt om razendsnel gevoelige configuratiebestanden op te sporen.

Advies voor verdedigers

Mandiant adviseert organisaties om hun verdediging drastisch aan te passen aan deze nieuwe snelheden:

1. Behandel 'lage' alerts als kritiek: Een kleine malware-melding kan de voorbode zijn van een ransomware-aanval die seconden later volgt.
2. Isoleer de controlelaag: Beheeromgevingen voor virtualisatie en back-ups moeten losstaan van het reguliere netwerk.
3. Langer loggen: Verleng de bewaartermijn van logs tot ruim boven de 90 dagen om langdurige infiltraties te kunnen reconstrueren.