Het Microsoft Digital Defense Report 2025 (MDDR) maakt één ding pijnlijk duidelijk in het hoofdstuk op pagina 19–25: cybercrime is niet langer een verzameling losse groepen hackers.

Het is een volwassen industrie.
Met rollen, producten, ketens, marktplaatsen, supply-chain modellen en zelfs retourbeleid.

Op p19 omschrijft Microsoft cybercriminaliteit als:

“A thriving marketplace where threat actors specialize, collaborate, and exchange services.”

En die specialisatie is precies wat moderne aanvallen zo effectief, schaalbaar en gevaarlijk maakt.

In deze blog duiken we in de drie belangrijkste fenomenen die dit ecosysteem domineren:

  1. Access Brokers
  2. Infostealers
  3. Malvertising & Clickjacking

Samen vormen ze de “eerste helft” van een cyberaanval. Vaak nog voordat een SOC iets ziet, een loglijn wordt geschreven, of een gebruiker iets merkt.


🧩 1. Access Brokers: de groothandel van gestolen toegang (p19–20)

Op pagina 19–20 beschrijft Microsoft hoe zogeheten Access Brokers een dominante rol spelen in de aanvalsketen.

Dit zijn niet de aanvallers die ransomware deployen of data stelen.
Dit zijn de “middenmannen” die:

  • toegang kopen, verkopen of ruilen
  • credentials harvesten
  • persistence-methoden aanbieden
  • accounts categoriseren op type en privilege
  • bulk-inbraken industrialiseren

Wat doet een access broker?

Denk aan:

  • “Global admin login, MFA disabled, 350 EUR”
  • “Compromised workstation with E5 license, 110 EUR”
  • “Azure VM with RDP open + credentials, 50 EUR”
  • “OAuth refresh token with graph permissions, 500 EUR”

Ze verkopen toegang zoals Bol.com producten verkoopt.
Met categorieën, reviews en ratings.

Waarom access brokers zo krachtig zijn

Volgens p19–20:

  • 80% van de toegang die ransomwaregroepen gebruiken, komt van access brokers.
  • Ze opereren in bulk, waardoor aanvallen sneller opschalen.
  • Ze bieden “as-a-service” modellen.
  • Ze vormen de verbindende schakel tussen tientallen criminele groepen.

🧠 1.1 Hoe access brokers toegang krijgen

Microsoft beschrijft op p21–22 de methoden die access brokers gebruiken, zoals:

  • low & slow password spray (p21)
  • credential stuffing
  • infostealer logs (p25)
  • malvertising (p24)
  • phishing-kits
  • token replay

En, heel belangrijk:

⬆ Access brokers gebruiken vrijwel altijd legitieme inlogmethoden, zodat detectie minimaal is.

Geen malware.
Geen exploits.
Gewoon: inloggen.


🦠 2. Infostealers: de productielijn voor gestolen credentials (p25)

Op pagina 25 beschrijft Microsoft de explosieve groei van infostealers., Infostealers zijn kleine stukjes malware gericht op:

  • browser session tokens
  • bewaarde wachtwoorden
  • autofill data
  • cookies
  • crypto wallets
  • SSH keys
  • VPN accounts
  • RDP credentials
  • Teams/Slack tokens

Ze staan niet op zichzelf — ze zijn onderdeel van een supply chain.

Wat Microsoft ziet (p25):

  • Infostealer activatie is meer dan verdubbeld t.o.v. 2023.
  • De markt voor infostealer logs is “explosief gegroeid”.
  • Logs worden verpakt per device, per gebruiker of per dataset.
  • Stealer logs worden gebruikt voor initial access of privilege escalation.

De top 5 infostealers van 2025 volgens Microsoft

Op p25 verwijst Microsoft naar een set populaire stealers uit hun zichtvelden.
Denk hierbij aan namen zoals:

  • Lumma Stealer
  • Rhadamanthys
  • Redline
  • Vidar
  • AgentTesla

(Lumma Stealer krijgt speciale aandacht omdat hij razendsnel evolueert.)


🔥 2.1 Lumma Stealer — De snelstgroeiende bedreiging (p25)

Het rapport benoemt dat Lumma:

  • zeer agressief wordt doorontwikkeld
  • anti-analysis technieken gebruikt
  • cookies steelt die MFA kunnen omzeilen
  • tokens steelt voor cloud apps
  • persistente sessies mogelijk maakt

En dat laatste is cruciaal.

Waarom?

Omdat de meest geavanceerde aanvallen in 2025 geen wachtwoord nodig hebben.
Ze gebruiken simpelweg:

  • gestolen session tokens
  • gestolen cookies
  • gestolen OAuth refresh tokens

Eenmaal binnen, wordt alles “legitiem verkeer”.


🪤 3. Malvertising en Clickjacking: de moderne vervanging van traditionele phishing (p24)

Op pagina 24 bespreekt Microsoft een van de grootste trends in 2024–2025:Malvertising via zoekmachines

Aanvallers kopen geadverteerde zoekresultaten voor:

  • Teams Desktop
  • Zoom
  • Chrome updates
  • VPN clients
  • PDF readers

Wanneer gebruikers zoeken naar software, klikken ze op de advertentie bovenaan.
Die advertentie leidt naar een site die:

  • een legitieme app toont
  • maar een geïnfecteerde installer levert

Deze methode is extreem effectief in landen met hoge digitale adoptie.


🧨 3.1 ClickFix (p36, verbonden aan eerdere secties)

ClickFix is een aanval waarbij gebruikers:

  • bewust op een knop drukken
  • waarvan ze denken dat deze hun probleem oplost
  • maar feitelijk een malicious payload uitvoeren

Het is een psychologisch slimme aanval:

  • de gebruiker denkt dat hij een fout oplost
  • de gebruiker voelt urgentie
  • de gebruiker voert vrijwillig de code uit

Dit is de evolutie van phishing.

Het probleem is niet dat mensen “dom” zijn — het probleem is dat de aanval sociaal overtuigend is.


🧭 4. Hoe de cybercrime-industrie samenwerkt (p19–25)

Dit is misschien wel het meest interessante deel van het hoofdstuk.

Microsoft laat zien dat de cybercrime-keten bestaat uit:

4.1 Rol 1 — Initial access brokers

Die toegang genereren via:

  • sprays
  • stealers
  • credential markets

4.2 Rol 2 — Malware developers

Die tools bouwen zoals:

  • infostealers
  • loaders
  • crypters

4.3 Rol 3 — Infrastructuurleveranciers

Die:

  • botnets verhuren
  • proxy-netwerken aanbieden
  • VPN’s leveren
  • SMTP-relays verkopen

4.4 Rol 4 — Ransomware operators

Die payload en exfiltration uitvoeren.

4.5 Rol 5 — Negotiators & extortion specialists

Die de businesskant regelen.

Dit is géén hobbyproject — dit is een bedrijfsmodel.


🧠 5. Waarom dit alles zo gevaarlijk is voor Microsoft 365-omgevingen

Hier komt de praktijk:

Infostealers stelen cloud tokens

Entra ID ziet een legitiem sign-in vanaf een illegitieme machine.

Access brokers verkopen admin accounts

Met E5-licenties krijg je toegang tot alles.

OAuth abuse omzeilt MFA

Er is geen challenge omdat de gebruiker de consent geeft.

Malvertising installeert payloads op devices

Waardoor Defender-signalen ontstaan na de compromise.

Supply-chain identity abuse

Workload identities met hoge rechten worden misbruikt.

Ransomware volgt als sluitstuk

Want zodra je toegang hebt en privileges hebt verhoogd, kan elke payload worden gedropt — lokaal of in de cloud.


🛠 6. Wat moet je hiermee als organisatie?

Gebaseerd op p19–25 en gekoppeld aan moderne best practices:

✔ 1. Zero Trust Identity (Entra ID)

  • Require MFA everywhere
  • User risk policy
  • Sign-in risk policy
  • Legacy auth blokkeren
  • CA per device + app

✔ 2. OAuth governance (Defender for Cloud Apps)

  • Detect high-risk OAuth apps
  • Reduce permissions
  • Consent workflows afdwingen
  • Block external consent

✔ 3. Endpoint hardening (Intune + Defender XDR)

  • Attack surface reduction (ASR)
  • Browser isolation
  • Block credential stealing
  • Reduce local admin rights

✔ 4. Cloud posture management (Defender for Cloud)

  • Workload identity hardening
  • VM exposure scanning
  • Vulnerability management
  • Key rotation policies

✔ 5. SOC automation (Sentinel)

  • Token theft detection
  • ASN-based password spray analytics
  • Malvertising indicators correlatie
  • OAuth anomalies

✔ 6. Data governance (Purview)

  • Bescherm data vooraf zodat exfiltration wordt beperkt
  • DLP op SPO/OD/Teams

🧩 7. Mapping tabel — MDDR 2025 cybercrime trends → Microsoft Security oplossingen

Trend uit MDDR p19–25Relevante Microsoft Oplossingen
Access brokersEntra ID Protection, Sentinel, CA policies
InfostealersDefender for Endpoint, ASR, XDR correlatie
OAuth abuseDefender for Cloud Apps; App Governance
MalvertisingDefender for Endpoint Web Content Filtering
Cookie/session theftDefender XDR Identity, token detection
Supply-chain abuseDefender for Cloud (CSPM + CIEM)
Initial access marketsSentinel UEBA, geavanceerde hunting queries

🧠 Conclusie

Het cybercrime-ecosysteem dat beschreven wordt in pagina 19–25 van het Microsoft Digital Defense Report 2025 is geen dreiging “van buitenaf”.
Het is een industrie die:

  • op schaal opereert
  • taakverdeling kent
  • modellen volgt die lijken op legitieme bedrijven
  • tooling ontwikkelt die sneller evolueert dan ooit
  • identiteiten, tokens en workloads als primaire toegangspaden gebruikt

De kracht van moderne cybercrime ligt niet in hacking.
De kracht ligt in:

  • automatisering
  • schaal
  • industrialisatie
  • commoditisatie van toegang

En precies daarom zijn identity, token security, OAuth-governance en endpoint-hardening belangrijker dan ooit.

Leave a Reply

Your email address will not be published. Required fields are marked *