Een kijkje in de opkomst van de digitale parasiet

Cyberbeveiliging
Een kijkje in de opkomst van de digitale parasiet

Zijn ransomware en encryptie nog steeds de bepalende signalen van moderne cyberaanvallen, of is de industrie te gefixeerd op lawaai, terwijl ze een gevaarlijkere verschuiving over het hoofd ziet die zich overal om hen heen stilletjes afspeelt?

Volgens het nieuwe Red Report 2026 van Picus Labs, dat meer dan 1,1 miljoen kwaadaardige bestanden analyseerde en 15,5 miljoen vijandige acties in kaart bracht die in 2025 werden waargenomen, optimaliseren aanvallers niet langer voor verstoring. In plaats daarvan is hun doel nu onzichtbare toegang op de lange termijn.

Voor alle duidelijkheid: ransomware gaat nergens heen en tegenstanders blijven innoveren. Maar de gegevens laten een duidelijke strategische draai zien, weg van luide, destructieve aanvallen, naar technieken die zijn ontworpen om detectie te omzeilen, in omgevingen te blijven bestaan ​​en stilletjes identiteit en vertrouwde infrastructuur te exploiteren. In plaats van systemen in te breken en plat te branden, gedragen de aanvallers zich steeds meer als digitale parasieten. Ze leven in de host, voeden zich met inloggegevens en services en blijven zo lang mogelijk onopgemerkt.

De publieke aandacht gaat vaak uit naar dramatische storingen en zichtbare gevolgen. De gegevens in het Red Report van dit jaar vertellen een rustiger verhaal, een verhaal dat laat zien waar verdedigers feitelijk hun zichtbaarheid verliezen.

Het ransomwaresignaal verdwijnt

De afgelopen tien jaar was ransomware-encryptie het duidelijkste signaal van cyberrisico’s. Toen uw systemen vastliepen en uw activiteiten vastliepen, was een compromis onmiskenbaar.

Dat signaal verliest nu zijn relevantie. Jaar na jaar daalde het aantal gegevens gecodeerd voor impact (T1486) met 38%, van 21,00% in 2024 naar 12,94% in 2025. Deze daling duidt niet op een verminderde capaciteit van aanvallers. Het weerspiegelt in plaats daarvan een doelbewuste verandering in de strategie.

In plaats van gegevens vast te leggen om betalingen af ​​te dwingen, verschuiven bedreigingsactoren naar gegevensafpersing als hun voornaamste model voor het genereren van inkomsten. Door encryptie te vermijden, houden aanvallers systemen operationeel terwijl ze:

  • Exfiltreer stilletjes gevoelige gegevens
  • Verzamel inloggegevens en tokens
  • Blijf gedurende langere perioden ingebed in omgevingen
  • Oefen later druk uit door middel van afpersing in plaats van verstoring

De implicatie is duidelijk: impact wordt niet langer gedefinieerd door vergrendelde systemen, maar door hoe lang aanvallers toegang kunnen behouden tot de systemen van een host zonder te worden opgemerkt.

“Het bedrijfsmodel van de tegenstander is verschoven van onmiddellijke verstoring naar toegang met een lange levensduur.” – Picus Red-rapport 2026

Diefstal van inloggegevens wordt het controlevliegtuig (een kwart van de aanvallen)

Naarmate aanvallers overgaan op langdurige, heimelijke volharding, wordt identiteit het meest betrouwbare pad naar controle.

Uit het Red Report 2026 blijkt dat inloggegevens uit wachtwoordwinkels (T1555) voorkomen bij bijna één op de vier aanvallen (23,49%), waardoor diefstal van inloggegevens een van de meest voorkomende gedragingen is die het afgelopen jaar is waargenomen.

In plaats van te vertrouwen op het luidruchtig dumpen van inloggegevens of complexe exploitketens, halen aanvallers steeds vaker opgeslagen inloggegevens rechtstreeks uit browsers, sleutelhangers en wachtwoordbeheerders. Zodra ze over geldige inloggegevens beschikken, zijn escalatie van privileges en zijwaartse verplaatsingen meestal slechts een klein beetje eigen administratief gereedschap verwijderd.

Steeds meer moderne malwarecampagnes gedragen zich als digitale parasieten. Er zijn geen alarmen, geen crashes en geen duidelijke indicatoren. Gewoon een griezelige stilte.

Deze zelfde logica vormt nu het vak van aanvallers breder.

80% van de beste ATT&CK-technieken geven nu de voorkeur aan stealth

Ondanks de breedte van het MITRE ATT&CK®-framework blijft de malware-activiteit in de echte wereld zich concentreren rond een kleine reeks technieken die steeds meer prioriteit geven aan ontduiking en volharding.

Het Rode Rapport 2026 onthult een grote onevenwichtigheid: acht van de tien beste MITRE ATT&CK-technieken zijn nu voornamelijk gericht op ontwijking, volharding of heimelijke commandovoering. Dit vertegenwoordigt de hoogste concentratie stealth-gerichte ambachten die Picus Labs ooit heeft geregistreerd, wat een fundamentele verandering in de successtatistieken van aanvallers aangeeft.

In plaats van prioriteit te geven aan onmiddellijke impact, optimaliseren moderne tegenstanders voor maximale verblijftijd. Technieken die aanvallers in staat stellen zich te verstoppen, op te gaan en gedurende langere perioden operationeel te blijven, wegen nu zwaarder dan de technieken die zijn ontworpen voor verstoring.

Hier zijn enkele van de meest waargenomen gedragingen uit het rapport van dit jaar:

  • T1055 – Process Injection zorgt ervoor dat malware binnen vertrouwde systeemprocessen kan draaien, waardoor kwaadaardige activiteiten moeilijk te onderscheiden zijn van legitieme uitvoering.
  • T1547 – Autostart-uitvoering bij opstarten of aanmelden zorgt voor persistentie door reboots en gebruikersaanmeldingen te overleven.
  • T1071 – Applicatielaagprotocollen bieden ‘fluisterkanalen’ voor commando- en controle, waardoor aanvallersverkeer wordt samengevoegd met normale web- en cloudcommunicatie.
  • T1497 – Dankzij virtualisatie en sandbox-ontduiking kan malware analyseomgevingen detecteren en weigeren deze uit te voeren wanneer het vermoedt dat deze wordt geobserveerd.

Het gecombineerde effect is krachtig. Legitiem ogende processen maken gebruik van legitieme tools om stilletjes via algemeen vertrouwde kanalen te werken. Op handtekeningen gebaseerde detectie heeft het moeilijk in deze omgeving, terwijl gedragsanalyse steeds belangrijker wordt voor het identificeren van illegale activiteiten die opzettelijk bedoeld zijn om normaal te lijken.

Waar encryptie ooit de aanval definieerde, bepaalt stealth nu het succes ervan.

Zelfbewuste malware weigert te worden geanalyseerd

Wanneer stealth de belangrijkste maatstaf voor succes wordt, is het ontwijken van detectie alleen niet langer voldoende. Aanvallers moeten ook voorkomen dat ze de tools activeren waarop verdedigers vertrouwen om hun kwaadaardige gedrag te observeren. Het Red Report 2026 laat dit duidelijk zien in de opkomst van virtualisatie en sandbox-ontduiking (T1497), die in 2025 naar de top van het beroep van aanvallers zijn gegaan.

Moderne malware evalueert steeds vaker waar het is voordat er een beslissing wordt genomen of handelen. In plaats van te vertrouwen op eenvoudige artefactcontroles, beoordelen sommige voorbeelden de uitvoeringscontext en gebruikersinteractie om te bepalen of ze daadwerkelijk in een echte omgeving werken.

In een voorbeeld uit het rapport analyseerde LummaC2 muisbewegingspatronen met behulp van geometrie, waarbij de Euclidische afstand en cursorhoeken werden berekend om menselijke interactie te onderscheiden van de lineaire beweging die typisch is voor geautomatiseerde sandbox-omgevingen. Als de omstandigheden kunstmatig leken, onderdrukte het doelbewust elke executie en wachtte het rustig zijn tijd af.

Dit gedrag weerspiegelt een diepere verschuiving in de logica van de aanvaller. Er kan niet langer op worden vertrouwd dat malware zich openbaart in sandbox-omgevingen. Het onthoudt activiteit door het ontwerp en blijft sluimerend totdat het een echt productiesysteem bereikt.

In een ecosysteem dat wordt gedomineerd door stealth en doorzettingsvermogen, passiviteit zelf is een kernontwijkingstechniek geworden.

AI-hype versus realiteit: evolutie, geen revolutie

Nu aanvallers steeds adaptiever gedrag vertonen, is het logisch dat u zich dit afvraagt waar kunstmatige intelligentie in dit plaatje past.

De gegevens van het Red Report 2026 suggereren een weloverwogen antwoord. Ondanks wijdverbreide speculaties, bijna verwachting, over AI die het malwarelandschap hervormt, constateerde Picus Labs geen betekenisvolle toename van AI-gestuurde malwaretechnieken in de dataset van 2025.

In plaats daarvan blijven de meest voorkomende gedragingen bekend. Al lang bestaande technieken zoals Process Injection en Command and Scripting Interpreter blijven inbraken in de echte wereld domineren, wat versterkt dat aanvallers geen geavanceerde AI nodig hebben om moderne verdedigingen te omzeilen.

Sommige malwarefamilies zijn begonnen te experimenteren met API’s met grote taalmodellen, maar tot nu toe is hun gebruik beperkt gebleven in omvang. In waargenomen gevallen werden LLM-services voornamelijk gebruikt om vooraf gedefinieerde opdrachten op te halen of als handige communicatielaag te fungeren. Deze implementaties verbeteren de efficiëntie, maar veranderen de besluitvorming of uitvoeringslogica van aanvallers niet fundamenteel.

Tot nu toe laten de gegevens zien dat AI een doorbraak is geabsorbeerd in bestaande ambacht in plaats van het herdefiniëren ervan. De mechanismen van de Digitale Parasiet blijven onveranderd: diefstal van inloggegevens, heimelijke volharding, misbruik van vertrouwde processen en steeds langere verblijftijden.

Aanvallers winnen niet door radicaal nieuwe technieken uit te vinden. Ze winnen door stiller en geduldiger te worden en steeds moeilijker te onderscheiden van legitieme activiteiten.

Terug naar de basis voor een ander dreigingsmodel

Nu we deze rapporten al een tijdje jaarlijks publiceren, zien we een aanhoudende trend waarbij veel van dezelfde tactieken jaar na jaar verschijnen. Wat fundamenteel veranderd is, is het doel.

Moderne aanvallen geven prioriteit aan:

  • onzichtbaar blijven
  • misbruik maken van vertrouwde identiteiten en hulpmiddelen
  • verdedigingen stilletjes uitschakelen
  • toegang in de loop van de tijd behouden

Door de moderne beveiligingsfundamentals, op gedrag gebaseerde detectie, identificatiehygiëne en voortdurende validatie van vijandige blootstelling te verdubbelen, kunnen organisaties zich minder concentreren op dramatische aanvalsscenario’s en meer op de bedreigingen die vandaag de dag succesvol zijn.

Klaar om te valideren tegen de digitale parasiet?

Hoewel de krantenkoppen over ransomware nog steeds de nieuwscyclus domineren, laat het Rode Rapport 2026 zien dat het echte risico steeds meer schuilt in stille, aanhoudende compromissen. Picus Security richt zich op het valideren van de verdediging tegen de specifieke technieken die aanvallers momenteel gebruiken, en niet alleen tegen de technieken die het meeste lawaai maken.

Klaar om de volledige gegevens achter het Digital Parasite-model te bekijken?

Download het Picus Red Report 2026 om de bevindingen van dit jaar te verkennen en te begrijpen hoe moderne tegenstanders langer dan ooit tevoren binnen netwerken blijven.

Opmerking: dit artikel is geschreven door Sıla Özeren Hacıoğlu, Security Research Engineer bij Picus Security.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De Android-app van Gmail krijgt eindelijk de functie Labels maken en beheren

Met Nothing’s Playground kunt u nu AI-apps bouwen zonder codering

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]