HPE heeft haar eerste wereldwijde rapport over cyberbedreigingen, “In the Wild”, gepubliceerd. Hierin wordt een significante verandering blootgelegd in de manier waarop cybercriminelen wereldwijd opereren, vooral binnen industriële sectoren en essentiële publieke diensten.
Dit document, gebaseerd op de daadwerkelijke activiteit die door de systemen van HPE tijdens 2025 werd gedetecteerd, bevestigt dat cybercriminaliteit een geïndustrialiseerd stadium ingaat. Criminele groepen combineren geautomatiseerde technieken met het uitbuiten van oude, nog niet verholpen kwetsbaarheden, waardoor ze hun operaties kunnen uitbreiden, kritieke activa kunnen compromitteren en constante druk op organisaties uitoefenen. Dit scenario dwingt organisaties hun digitale strategie te versterken en cybersecurity als een sleutelfactor voor hun bedrijfsvoering te beschouwen.
Het onderzoek analyseert in totaal 1.186 actieve campagnes en schetst een omgeving gekenmerkt door snelheid, organisatie en verfijning. Volgens het rapport werken criminele groepen steeds meer als professionele structuren: ze hergebruiken infrastructuren, automatiseren aanvallen en kiezen doelgerichte strategische doelen met een steeds gerichtere aanpak.
“In the Wild laat zien wat er dagelijks gebeurt binnen organisaties,” legt Mounir Hahad uit, verantwoordelijk bij HPE Threat Labs. “Ons onderzoek richt zich op echte bedreigingen, niet op simulaties. We analyseren hoe aanvallers handelen tijdens lopende campagnes, hoe ze hun tactieken aanpassen en wat werkt. Deze gegevens stellen ons in staat om detectie te verbeteren, defenses te versterken en onze klanten een helder beeld te geven van de meest waarschijnlijke dreigingen. Kortom, het helpt hen sneller en veerkrachtiger te reageren op steeds beter georganiseerde aanvallen.”
Industriële infrastructuren stimuleren de huidige dreigingscampagnes
Zoals beschreven in dit eerste rapport, heeft HPE Threat Labs een toename waargenomen in zowel het aantal aanvallen als de verfijning van gebruikte tactieken en technieken. Onder de actoren bevinden zich spionagegroepen die gelinkt zijn aan staten en cybercriminelen, die opereren op een niveau dat vergelijkbaar is met grote bedrijven: ze hanteren hiërarchische structuren, gespecialiseerde teams en flexibele coördinatiemechanismen voor het inzetten van uitgebreide, geïndustrialiseerde aanvalsinfrastructuren, met een diepgaande kennis van gangbare applicaties en documenten in werkomgevingen.
De publieke sector was het meest doelwit wereldwijd, met 274 campagnes gericht op federale, regionale en gemeentelijke instanties. Hierna volgden de financiële en technologische sector, met respectievelijk 211 en 179 campagnes, wat het voortdurende belang van aanvallers op waardevolle gegevens en economisch gewin benadrukt. Ook was er hoge activiteit bij defensieorganisaties, de maakindustrie, telecommunicatie, gezondheidszorg en onderwijs. Deze gegevens onderstrepen dat aanvallers strategisch prioriteit geven aan sectoren die cruciaal zijn voor infrastructuur, gevoelige informatie en economische stabiliteit, hoewel geen sector volledig gevrijwaard is.
Gedurende het jaar zetten cybercriminelen meer dan 147.000 kwaadaardige domeinen in, bijna 58.000 malwarebestanden en exploiteerden ze actief 549 kwetsbaarheden. De mate van professionalisering maakt dat aanvallen voorspelbaarder worden, maar des te moeilijker te stoppen, omdat het uitschakelen van één onderdeel van een operatie zelden de hele campagne stopt.
Automatisering en AI-tools versnellen de snelheid en impact van aanvallen
Criminelen passen ook nieuwe technieken toe om hun snelheid en effectiviteit te vergroten. Sommige operaties gebruiken geautomatiseerde workflows, vergelijkbaar met een “productielijn”, via platforms zoals Telegram om gestolen gegevens in real-time te exfiltreren. Anderen maken gebruik van generatieve AI om synthetische stemmen en nepvideo’s te creëren voor gerichte fraude, zoals vishing of impersonatie van leidinggevenden. Bovendien heeft een gespecialiseerde groep in afpersing marktanalyses uitgevoerd over kwetsbaarheden in virtuele privénetwerken (VPNs) om hun inbraakstrategieën te optimaliseren.
Deze tactieken stellen aanvallers in staat sneller te handelen, hun bereik te vergroten en zich te richten op kritieke sectoren. Door operaties te optimaliseren en te focussen op hoge-waarde doelwitten, kunnen ze het economische voordeel maximaliseren met een grotere efficiëntie, en zo strategisch het geldpad volgen.
Praktische maatregelen om de cyberweerbaarheid te versterken
Het rapport benadrukt dat effectieve verdediging minder afhankelijk is van nieuwe tools en meer van verbeterde coördinatie, zichtbaarheid en reactievermogen binnen het hele netwerk. Organisaties worden geadviseerd de volgende maatregelen te implementeren:
- Silos doorbreken door threat intelligence-uitwisseling tussen interne teams, klanten en sectoren, met behulp van een SASE-benadering (Secure Access Service Edge) die netwerk en beveiliging integreert en aanvallen eerder detecteert.
- Veelvoorkomende invalswegen corrigeren zoals VPN’s, SharePoint en endpoint-apparaten, om de blootstelling te verkleinen en terugkerende aanvalspaden te sluiten.
- Zero Trust-principes toepassen door authenticatie te versterken en laterale bewegingen te beperken, met ZTNA-oplossingen (Zero Trust Network Access) die continu gebruikers en apparaten verifiëren voordat toegang wordt verleend.
- Visibiliteit en responscapaciteit verbeteren met threat intelligence, deception-technologieën en AI-gedetecteerde tools, die sneller en nauwkeuriger aanvallen identificeren, analyseren en erop reageren.
- Beveiliging uitbreiden buiten het bedrijfsperimeter naar thuisnetwerken, derde partijen en supply chain-omgevingen.
Gezamenlijk zorgen deze maatregelen dat organisaties flexibeler kunnen reageren, risico’s minimaliseren en hun verdedigingsvermogen versterken tegen steeds meer georganiseerde en hardnekkige dreigingen.
HPE Threat Labs tilt netwerken naar een hoger niveau van verdediging
Met een solide achtergrond in onderzoek heeft HPE Threat Labs opgericht om het hoofd te bieden aan een voortdurend evoluerend dreigingslandschap. Door de combinatie van toptalent en geavanceerde security intelligence van HPE en Juniper Networks, biedt HPE Threat Labs diepgaande expertise en een aanzienlijk groter volume aan data om echte bedreigingen te identificeren en te monitoren. Dit stelt HPE in staat om direct die intelligence aan haar oplossingen te koppelen, waardoor aanvaldetectie en -blokkering effectiever worden.
“HPE Threat Labs is opgericht om toonaangevend onderzoek te verbinden met praktische veiligheidsoplossingen,” zegt David Hughes, SVP & GM van SASE en Security bij HPE. “Het rapport In the Wild toont aan dat aanvallers vandaag opereren met discipline, schaal en efficiëntie die kenmerkend zijn voor grote mondiale organisaties. Om hen te bestrijden, is hetzelfde strategische niveau, integratie en operationele strikte aanpak vereist. Door dreigingsinformatie direct in onze producten te integreren, helpt HPE Threat Labs organisaties om risico’s te verminderen, de impact van aanvallen te beperken en de systemen te beschermen waarop hun bedrijfsvoering steunt.”