Het Microsoft Digital Defense Report 2025 (MDDR) maakt één ding pijnlijk duidelijk in het hoofdstuk op pagina 19–25: cybercrime is niet langer een verzameling losse groepen hackers.
Het is een volwassen industrie.
Met rollen, producten, ketens, marktplaatsen, supply-chain modellen en zelfs retourbeleid.
Op p19 omschrijft Microsoft cybercriminaliteit als:
“A thriving marketplace where threat actors specialize, collaborate, and exchange services.”
En die specialisatie is precies wat moderne aanvallen zo effectief, schaalbaar en gevaarlijk maakt.
In deze blog duiken we in de drie belangrijkste fenomenen die dit ecosysteem domineren:
- Access Brokers
- Infostealers
- Malvertising & Clickjacking
Samen vormen ze de “eerste helft” van een cyberaanval. Vaak nog voordat een SOC iets ziet, een loglijn wordt geschreven, of een gebruiker iets merkt.
🧩 1. Access Brokers: de groothandel van gestolen toegang (p19–20)
Op pagina 19–20 beschrijft Microsoft hoe zogeheten Access Brokers een dominante rol spelen in de aanvalsketen.
Dit zijn niet de aanvallers die ransomware deployen of data stelen.
Dit zijn de “middenmannen” die:
- toegang kopen, verkopen of ruilen
- credentials harvesten
- persistence-methoden aanbieden
- accounts categoriseren op type en privilege
- bulk-inbraken industrialiseren
Wat doet een access broker?
Denk aan:
- “Global admin login, MFA disabled, 350 EUR”
- “Compromised workstation with E5 license, 110 EUR”
- “Azure VM with RDP open + credentials, 50 EUR”
- “OAuth refresh token with graph permissions, 500 EUR”
Ze verkopen toegang zoals Bol.com producten verkoopt.
Met categorieën, reviews en ratings.
Waarom access brokers zo krachtig zijn
Volgens p19–20:
- 80% van de toegang die ransomwaregroepen gebruiken, komt van access brokers.
- Ze opereren in bulk, waardoor aanvallen sneller opschalen.
- Ze bieden “as-a-service” modellen.
- Ze vormen de verbindende schakel tussen tientallen criminele groepen.
🧠 1.1 Hoe access brokers toegang krijgen
Microsoft beschrijft op p21–22 de methoden die access brokers gebruiken, zoals:
- low & slow password spray (p21)
- credential stuffing
- infostealer logs (p25)
- malvertising (p24)
- phishing-kits
- token replay
En, heel belangrijk:
⬆ Access brokers gebruiken vrijwel altijd legitieme inlogmethoden, zodat detectie minimaal is.
Geen malware.
Geen exploits.
Gewoon: inloggen.
🦠 2. Infostealers: de productielijn voor gestolen credentials (p25)
Op pagina 25 beschrijft Microsoft de explosieve groei van infostealers., Infostealers zijn kleine stukjes malware gericht op:
- browser session tokens
- bewaarde wachtwoorden
- autofill data
- cookies
- crypto wallets
- SSH keys
- VPN accounts
- RDP credentials
- Teams/Slack tokens
Ze staan niet op zichzelf — ze zijn onderdeel van een supply chain.
Wat Microsoft ziet (p25):
- Infostealer activatie is meer dan verdubbeld t.o.v. 2023.
- De markt voor infostealer logs is “explosief gegroeid”.
- Logs worden verpakt per device, per gebruiker of per dataset.
- Stealer logs worden gebruikt voor initial access of privilege escalation.
De top 5 infostealers van 2025 volgens Microsoft
Op p25 verwijst Microsoft naar een set populaire stealers uit hun zichtvelden.
Denk hierbij aan namen zoals:
- Lumma Stealer
- Rhadamanthys
- Redline
- Vidar
- AgentTesla
(Lumma Stealer krijgt speciale aandacht omdat hij razendsnel evolueert.)
🔥 2.1 Lumma Stealer — De snelstgroeiende bedreiging (p25)
Het rapport benoemt dat Lumma:
- zeer agressief wordt doorontwikkeld
- anti-analysis technieken gebruikt
- cookies steelt die MFA kunnen omzeilen
- tokens steelt voor cloud apps
- persistente sessies mogelijk maakt
En dat laatste is cruciaal.
Waarom?
Omdat de meest geavanceerde aanvallen in 2025 geen wachtwoord nodig hebben.
Ze gebruiken simpelweg:
- gestolen session tokens
- gestolen cookies
- gestolen OAuth refresh tokens
Eenmaal binnen, wordt alles “legitiem verkeer”.
🪤 3. Malvertising en Clickjacking: de moderne vervanging van traditionele phishing (p24)
Op pagina 24 bespreekt Microsoft een van de grootste trends in 2024–2025:Malvertising via zoekmachines
Aanvallers kopen geadverteerde zoekresultaten voor:
- Teams Desktop
- Zoom
- Chrome updates
- VPN clients
- PDF readers
Wanneer gebruikers zoeken naar software, klikken ze op de advertentie bovenaan.
Die advertentie leidt naar een site die:
- een legitieme app toont
- maar een geïnfecteerde installer levert
Deze methode is extreem effectief in landen met hoge digitale adoptie.
🧨 3.1 ClickFix (p36, verbonden aan eerdere secties)
ClickFix is een aanval waarbij gebruikers:
- bewust op een knop drukken
- waarvan ze denken dat deze hun probleem oplost
- maar feitelijk een malicious payload uitvoeren
Het is een psychologisch slimme aanval:
- de gebruiker denkt dat hij een fout oplost
- de gebruiker voelt urgentie
- de gebruiker voert vrijwillig de code uit
Dit is de evolutie van phishing.
Het probleem is niet dat mensen “dom” zijn — het probleem is dat de aanval sociaal overtuigend is.
🧭 4. Hoe de cybercrime-industrie samenwerkt (p19–25)
Dit is misschien wel het meest interessante deel van het hoofdstuk.
Microsoft laat zien dat de cybercrime-keten bestaat uit:
4.1 Rol 1 — Initial access brokers
Die toegang genereren via:
- sprays
- stealers
- credential markets
4.2 Rol 2 — Malware developers
Die tools bouwen zoals:
- infostealers
- loaders
- crypters
4.3 Rol 3 — Infrastructuurleveranciers
Die:
- botnets verhuren
- proxy-netwerken aanbieden
- VPN’s leveren
- SMTP-relays verkopen
4.4 Rol 4 — Ransomware operators
Die payload en exfiltration uitvoeren.
4.5 Rol 5 — Negotiators & extortion specialists
Die de businesskant regelen.
Dit is géén hobbyproject — dit is een bedrijfsmodel.
🧠 5. Waarom dit alles zo gevaarlijk is voor Microsoft 365-omgevingen
Hier komt de praktijk:
✔ Infostealers stelen cloud tokens
Entra ID ziet een legitiem sign-in vanaf een illegitieme machine.
✔ Access brokers verkopen admin accounts
Met E5-licenties krijg je toegang tot alles.
✔ OAuth abuse omzeilt MFA
Er is geen challenge omdat de gebruiker de consent geeft.
✔ Malvertising installeert payloads op devices
Waardoor Defender-signalen ontstaan na de compromise.
✔ Supply-chain identity abuse
Workload identities met hoge rechten worden misbruikt.
✔ Ransomware volgt als sluitstuk
Want zodra je toegang hebt en privileges hebt verhoogd, kan elke payload worden gedropt — lokaal of in de cloud.
🛠 6. Wat moet je hiermee als organisatie?
Gebaseerd op p19–25 en gekoppeld aan moderne best practices:
✔ 1. Zero Trust Identity (Entra ID)
- Require MFA everywhere
- User risk policy
- Sign-in risk policy
- Legacy auth blokkeren
- CA per device + app
✔ 2. OAuth governance (Defender for Cloud Apps)
- Detect high-risk OAuth apps
- Reduce permissions
- Consent workflows afdwingen
- Block external consent
✔ 3. Endpoint hardening (Intune + Defender XDR)
- Attack surface reduction (ASR)
- Browser isolation
- Block credential stealing
- Reduce local admin rights
✔ 4. Cloud posture management (Defender for Cloud)
- Workload identity hardening
- VM exposure scanning
- Vulnerability management
- Key rotation policies
✔ 5. SOC automation (Sentinel)
- Token theft detection
- ASN-based password spray analytics
- Malvertising indicators correlatie
- OAuth anomalies
✔ 6. Data governance (Purview)
- Bescherm data vooraf zodat exfiltration wordt beperkt
- DLP op SPO/OD/Teams
🧩 7. Mapping tabel — MDDR 2025 cybercrime trends → Microsoft Security oplossingen
| Trend uit MDDR p19–25 | Relevante Microsoft Oplossingen |
| Access brokers | Entra ID Protection, Sentinel, CA policies |
| Infostealers | Defender for Endpoint, ASR, XDR correlatie |
| OAuth abuse | Defender for Cloud Apps; App Governance |
| Malvertising | Defender for Endpoint Web Content Filtering |
| Cookie/session theft | Defender XDR Identity, token detection |
| Supply-chain abuse | Defender for Cloud (CSPM + CIEM) |
| Initial access markets | Sentinel UEBA, geavanceerde hunting queries |
🧠 Conclusie
Het cybercrime-ecosysteem dat beschreven wordt in pagina 19–25 van het Microsoft Digital Defense Report 2025 is geen dreiging “van buitenaf”.
Het is een industrie die:
- op schaal opereert
- taakverdeling kent
- modellen volgt die lijken op legitieme bedrijven
- tooling ontwikkelt die sneller evolueert dan ooit
- identiteiten, tokens en workloads als primaire toegangspaden gebruikt
De kracht van moderne cybercrime ligt niet in hacking.
De kracht ligt in:
- automatisering
- schaal
- industrialisatie
- commoditisatie van toegang
En precies daarom zijn identity, token security, OAuth-governance en endpoint-hardening belangrijker dan ooit.