Fortinet heeft het ​ 2026 Global Threat Lands­cape Report van FortiGuard Labs gepu­bli­ceerd. Deze nieuwe editie van het jaar­lijkse onder­zoeks­rap­port is volledig geba­seerd op tele­me­trie­ge­ge­vens van FortiGuard Labs en biedt een moment­op­name van de belang­rijkste cyber­be­drei­gingen en trends van 2025. Het rapport bevat daar­naast uitge­breide analyses van alle aanval­st­ac­tieken die deel uitmaken van het MITRE ATT&CK-framework. Uit de onder­zoeks­ge­ge­vens blijkt dat cyber­cri­mi­na­li­teit niet langer van losse aanvals­cam­pagnes aan elkaar hangt. Cyber­cri­mi­nelen door­lopen syste­ma­tisch een complete aanvals­le­vens­cy­clus en laten die sneller verlopen door gebruik te maken van shadow agents. Dit zijn auto­nome AI agents die onge­zien acties uitvoeren binnen de omge­ving van hun slacht­of­fers.

Derek Manky, chief secu­rity stra­te­gist en global vice presi­dent Threat Intel­li­gence bij FortiGuard Labs: “Cyber­cri­mi­na­li­teit is een van ‘s werelds meest wijd­ver­spreide en kost­bare bedrei­gingen. Ons nieuwe Global Threat Lands­cape Report laat zien hoe cyber­cri­mi­nelen agentic AI inzetten voor geavan­ceer­dere aanvallen. Nu steeds meer van hen dat doen om hun aanval­st­ac­tieken kracht bij te zetten, moeten cyber­se­cu­rity-profes­si­o­nals hun processen door­ont­wik­kelen tot een geïn­du­stri­a­li­seerd bevei­li­gings­sys­teem en gebruik­maken van AI-tools die in staat zijn om met dezelfde snel­heid als moderne cyber­be­drei­gingen te reageren.

Populaire aanvalstechnieken en sectoren die onder vuur staan

Moderne cyber­cri­mi­na­li­teit over­stijgt niet alleen grenzen en sectoren, maar ontstijgt ook aan tradi­ti­o­nele defi­ni­ties van crimi­na­li­teit. Cyber­aan­vallen krijgen een geavan­ceerder en sterker verbonden karakter. Belang­rijke conclu­sies uit het nieuwe Threat Lands­cape Report van FortiGuard Labs zijn onder meer:

• De cyberrisico’s worden groter naar­mate de time-to-exploit (TTE) korter wordt: AI helpt cyber­cri­mi­nelen met het uitvoeren van verken­ningen binnen het netwerk van hun slacht­offer, het omvormen van legi­tieme IT-processen tot wapens en het uitvoeren van cyber­aan­vallen. De time-to-exploit (TTE), oftewel de tijd tussen de ontdek­king en het misbruik van een nieuwe kwets­baar­heid in de bevei­li­ging, bedroeg in 2025 volgens de onder­zoeks­ge­ge­vens van FortiGuard 24 tot 48 uur voor kritieke cyber­be­drei­gingen. Dit is een forse stij­ging ten opzichte van eerdere rapporten die op een gemid­delde TTE van 4,76 dagen wezen. Een analyse van bevei­li­gings­in­ci­denten laat zien dat elke minuut telt. Cyber­cri­mi­nelen probeerden actief misbruik te maken van bevei­li­gings­lekken. Dit gebeurde bijvoor­beeld al binnen enkele uren na de open­baar­ma­king van de kwets­baar­heid React2Shell.
• Het aantal ransom­ware-slacht­of­fers neemt een vlucht: Volgens infor­matie van Forti­Recon, een oplos­sing die met de blik van een hacker van buitenaf naar de bevei­li­ging van orga­ni­sa­ties kijkt, werden er wereld­wijd 7.831 orga­ni­sa­ties het slacht­offer van ransom­ware. Dit is een forse stij­ging ten opzichte van de onge­veer 1.600 slacht­of­fers die in het Fortinet 2025 Global Threat Lands­cape Report werden geïden­ti­fi­ceerd. De beschik­baar­heid van service kits voor cyber­cri­mi­nelen zoals WormGPT, FraudGPT en Brute­For­ceAI droegen bij aan deze stij­ging van 389% ten opzichte van het voor­gaande jaar. De zwaarst getroffen drie sectoren waren de maak­in­du­strie (1.284), zake­lijke dienst­ver­le­ning (824) en retail (682). Wat geogra­fi­sche concen­tratie betreft vielen de meeste slacht­of­fers in de Vere­nigde Staten (3.381), Canada (374) en Duits­land (291).
• De wild­groei aan iden­ti­teiten maakt clouds kwets­baar: Uit infor­matie van FortiCNAPP, het plat­form van Fortinet voor de bevei­li­ging van cloud­ap­pli­ca­ties, blijkt dat de meeste bevei­li­gings­in­ci­denten rond de cloud in 2025 niet te wijten waren aan hacks van de infra­struc­tuur, maar aan gestolen, gelekte of misbruikte aanmel­dings­ge­ge­vens. Een sector­ana­lyse wijst uit dat zieken­huizen, klinieken en winkel­ke­tens tot de belang­rijkste doel­witten behoren. Een over­daad aan iden­ti­teiten, systemen die toegang bieden tot meer­dere appli­ca­ties op basis van één set inlog­ge­ge­vens en complexe cloud­in­te­gra­ties maken deze sectoren tot een geliefd doelwit voor cyber­cri­mi­nelen.

Een inkijkje in het gebruik van AI door cybercriminelen

Volgens de voor­spel­lingen van FortiGuard Labs voor 2026 opereren de meest capa­bele cyber­cri­mi­nele groe­pe­ringen als een onder­ne­ming met de hulp van shadow agents, access brokers en botnet opera­tors die on demand dien­sten verlenen. Belang­rijke bevin­dingen die in het rapport aan bod komen zijn onder meer:

• Shadow agents vereisen minder tech­ni­sche vaar­dig­heden en versnellen de work­flows van cyber­cri­mi­nelen. Uit infor­matie die Forti­Recon op het dark web verza­melde blijkt dat cyber­cri­mi­nelen door AI onder­steunde aanval­stools op het dark web aanbieden. Voor­beelden zijn verbe­terde versies van WormGPT en FraudGPT en nieuwe dien­sten als HexStrike AI, een AI-tool die auto­ma­tisch verken­ningen uitvoert en aanvals­paden gene­reert en Brute­For­ceAI, een tool die op basis van inge­bouwde large language models pene­tra­tie­tests uitvoert om gerichte aanvals­tech­nieken op meer­dere niveaus te bepalen.
• AI stelt cyber­cri­mi­nelen in staat om slimmer in plaats van harder te werken. Volgens tele­me­trie­ge­ge­vens vanFor­ti­Gate IPS daalde het aantal brute force aanvals­po­gingen in 2025 met 22% ten opzichte van het voor­gaande jaar. Dit is geen goed nieuws, maar wijst juist op effi­ci­ën­tie­ver­be­te­ring bij cyber­cri­mi­nelen. Dankzij slim­mere brute force-tech­nieken hoeven zij minder aanvals­po­gingen uit te voeren en kunnen zijn hun slacht­of­fers beter uitkiezen. Dit vergroot de slagings­kans per uitge­pro­beerd wacht­woord aanzien­lijk. Deze opti­ma­li­sa­tie­slag vertaalde zich wereld­wijd in zo’n 67,65 miljard brute force-aanvallen. Er was sprake van rond de 185 miljoen pogingen per dag, 1,3 miljard pogingen per week en 5,6 miljard pogingen per maand. ​
• Gestolen data­sets zijn popu­lairder dan gelekte aanmel­dings­ge­ge­vens. De onder­zoe­kers van FortiGuard Labs signa­leerden in het 2025 Global Threat Lands­cape Report een vijf­vou­dige toename van het aantal logbe­standen die in handen van cyber­cri­mi­nelen vielen nadat zij systemen hadden besmet met infos­te­aler-malware. In 2026 bleek uit infor­matie van Forti­Recon dat dit aantal nog eens met 79% was toege­nomen. Er bleek boven­dien sprake te zijn van een verschui­ving naar dief­stal van uitge­brei­dere data­sets met behulp van agentic AI. Wat data­ba­se­ac­ti­vi­teit op het dark web betreft voerden stealer logs de boven­toon qua aange­boden en gedeelde data­sets (67,12%). Deze bleken stukken popu­lairder dan combi­na­tie­lijsten (16,47%) en gelekte aanmel­dings­ge­ge­vens (5,96%). Stealer logs maken het eenvou­diger voor cyber­cri­mi­nelen om iden­ti­teits­ge­ge­vens te combi­neren met contex­tuele infor­matie, zoals data die in brow­sers is opge­slagen. Ze kunnen deze aanmel­dings­ge­ge­vens direct opvragen om sneller netwerken binnen te dringen dan moge­lijk is met behulp van brute force-aanvallen of pass­word spraying.
• Malware voor het stelen van aanmel­dings­ge­ge­vens blijft een hard­nekkig probleem. Het gebruik van creden­tial stealer malware blijft een lucra­tieve bezig­heid voor cyber­cri­mi­nelen en een van de belang­rijkste tech­nieken om de bevei­li­ging van orga­ni­sa­ties te door­breken. Volgens de tele­me­trie­ge­ge­vens van Forti­Recon waren de grootste boos­doe­ners RedLine met 911.968 besmet­tingen (50,80%); Lumma met 499.784 infec­ties (27,84%) en Vidar met 236.778 besmet­tingen (13,19%).

Cybercriminaliteit aanpakken door het uitwisselen van informatie

Fortinet stelt zich ten doel om wereld­wijde cyber­cri­mi­na­li­teit proac­tief te bestrijden door het verza­melen en delen van rele­vante infor­matie.

Een recent geza­men­lijk initi­a­tief dat door INTERPOL werd geleid en door Fortinet werd onder­steund via de Cyber­crime Atlas-gemeen­schap van het World Economic Forum resul­teerde in de ontman­te­ling van een cyber­cri­mi­neel netwerk. Tijdens Opera­tion Red Card 2.0 werd de infra­struc­tuur van de bende in kwestie uit de lucht gehaald en de mensen achter online scams, mobiele finan­ciële fraude en frau­du­leuze krediet­aan­vragen in Afrika gear­res­teerd. Fortinet is mede­op­richter van Cyber­crime Atlas, een wereld­wijd samen­wer­kings­ver­band tussen orga­ni­sa­ties in de private en publieke sector dat gebruik­maakt van open source infor­matie om cyber­cri­mi­nele netwerken in kaart te brengen, kwets­baar­heden in infra­struc­turen te iden­ti­fi­ceren en onder­steu­ning te verlenen aan ontman­te­lings­ope­ra­ties in samen­wer­king met wets­hand­ha­vers, zoals recen­te­lijk Opera­tion Red Cards 2.0 en Opera­tion Seren­geti 2.0.

Uit het 2026 Global Threat Lands­cape Report blijkt dat het belang­rijker dan ooit is om cyber­cri­mi­na­li­teit aan te pakken. Om bevei­li­gings­pro­fes­si­o­nals te helpen om cyber­cri­mi­nelen een stap voor te blijven intro­du­ceerden Fortinet en Crime Stop­pers Inter­na­ti­onal het Cyber­crime Bounty-programma. Dit biedt burgers en ethi­sche hackers een veilig kanaal voor het anoniem indienen van tips over cyber­be­drei­gingen, kwets­baar­heden en cyber­cri­mi­nelen.

FortiGuard Labs Advi­sory Services combi­neert geavan­ceerde tech­no­logie met vakkun­dige onder­steu­ning door experts om orga­ni­sa­ties te helpen met het versterken van hun bevei­li­ging om cyber­be­drei­gingen de baas te blijven. FortiGuard Outbreak Alerts biedt cruciale infor­matie over actuele cyber­aan­vallen die aanzien­lijke gevolgen kunnen hebben voor bedrijven, orga­ni­sa­ties en sectoren. In het geval van een bevei­li­gings­in­ci­dent zorgt FortiGuard Labs voor snelle en effec­tieve respons en uitge­breide foren­si­sche analyses om de impact te mini­ma­li­seren en toekom­stige inci­denten te voor­komen. Op die manier biedt het uitge­breide bescher­ming voor het voort­du­rend veran­de­rende digi­tale land­schap.