Ransomware- en pre-ransomware-activiteiten vertegenwoordigden in het vierde kwartaal van 2025 nog slechts 13 procent van de incidenten. Dat blijkt uit de nieuwste kwartaalanalyse van Cisco Talos Incident Response (Talos IR). Ondanks deze daling blijft het dreigingslandschap zorgwekkend: cybercriminelen richten zich steeds vaker op publiek toegankelijke applicaties en phishing.
Publieke applicaties belangrijkste toegangspoort
Het misbruik van kwetsbaarheden in publieke applicaties was betrokken bij bijna 40 procent van alle incidentresponscases. In meerdere gevallen werden systemen binnen enkele uren na publicatie van een kwetsbaarheid gecompromitteerd. Aanvallers maakten onder meer misbruik van recent onthulde kwetsbaarheden in Oracle E-Business Suite en React2Shell.
Volgens Jan Heijdra, Field CTO Security bij Cisco Benelux, toont dit aan hoe snel aanvallers handelen: “Snelle patching, robuuste segmentatie en sterke authenticatie blijven essentieel. De daling van ransomware mag niet leiden tot zelfgenoegzaamheid.”
Phishing neemt toe
Phishing was verantwoordelijk voor 32 procent van de incidenten, een stijging ten opzichte van 23 procent in het voorgaande kwartaal. Aanvallers gebruikten gecompromitteerde accounts en gekaapte domeinen om geloofwaardige e-mails te versturen, vaak rond werkgerelateerde thema’s. Zwakke of ontbrekende multi-factor authenticatie (MFA) vergrootte daarbij het risico.
RMM-tools bemoeilijken detectie
Cybercriminelen maken daarnaast vaker gebruik van legitieme Remote Monitoring and Management (RMM)-tools. Omdat deze tools normaal gesproken binnen organisaties worden gebruikt, wordt detectie bemoeilijkt.
Belangrijkste aanbevelingen
De analyse benadrukt het belang van:
Gedegen en snel patchmanagement
Strikte MFA-beleidsregels en monitoring van verdachte activiteiten
Gecentraliseerde logging via een SIEM-oplossing
Vroege betrokkenheid van incident response-specialisten
De conclusie van Cisco Talos is duidelijk: hoewel ransomware tijdelijk minder dominant lijkt, verschuift de dreiging naar andere, vaak snellere en moeilijker te detecteren aanvalsmethoden.
