Het ESET Threat Report H1 2024 biedt een diepgaande analyse van de cyberdreigingen van december 2023 tot en met mei 2024. Het rapport benadrukt de opkomst van geavanceerde malware die misbruik maakt van AI, evenals nieuwe tactieken van cybercriminelen die zich richten op mobiele en webplatforms.
📌 Belangrijkste inzichten in 1 minuut
-
Infostealers in transitie: Lumma Stealer stijgt met 369% en Formbook verdringt Agent Tesla – beide populair binnen het MaaS-model.
-
Cryptostealers groeien explosief: Door de bitcoinhausse stijgen aanvallen op wallets, met name op macOS en Windows; Android volgt met 20% groei.
-
Mobiele bankfraude vernieuwd: Aanvallers gebruiken PWA’s en WebAPKs om buiten de appstore om bankingapps te imiteren en inloggegevens te stelen.
-
Scams met deepfakes en social engineering: De ‘Nomani’-campagnes combineren AI-video’s, merkvervalsing en social media targeting – 335% stijging.
-
Ransomware-markt herschikt zich: RansomHub neemt de leidende rol over van LockBit, met geavanceerde EDR-killers en snelle groei in slachtoffers.
Infostealers: de opkomst van Lumma en de comeback van Formbook
In de eerste helft van 2024 werd RedLine Stealer nog gezien als dominante infostealer. Maar na een internationale takedown in oktober – Operation Magnus – verdween de malware grotendeels uit beeld. Tegelijkertijd zagen we een explosieve groei van Lumma Stealer, met een stijging van 369% en campagnes via GitHub, fake tools en video-editors. Ook Formbook keerde terug als populairste infostealer, mede dankzij verspreiding via ModiLoader en AceCryptor.
Voor securityteams betekent dit dat het infostealerlandschap dynamischer is dan ooit, met voortdurende verschuivingen in tooling en distributie.
Cryptovaluta trekt aanvallers aan – op elk platform
De recordkoers van bitcoin (boven de $90.000 eind 2024) bracht een golf aan cryptostealers op gang. Op macOS verdubbelde het aantal detecties, vooral door AMOS-malware. Windows zag een stijging van 56%, mede door Lumma-varianten. En op Android groeiden financiële dreigingen met 20%, waarbij malware zoals Cerberus bankingapps én cryptowallets aanvalt.
Voor CISO’s is dit hét signaal om beveiliging cross-platform te herzien en crypto-assets als volwaardige risicofactor op te nemen in hun securitymodel.
Mobiele bankfraude via PWA’s en WebAPKs
Cybercriminelen maken nu gebruik van zogeheten Progressive Web Apps (PWA) en WebAPKs om phishingapps op Android en iOS te installeren buiten de appstore om. Gebruikers worden misleid met meldingen over bankupdates of belastingteruggave. In landen als Tsjechië, Hongarije en Georgië werden zo mobiele bankapps geïmiteerd en misbruikt.
Het toont aan dat appstore-validatie geen sluitende barrière meer is. Securitystrategieën moeten deze nieuwe vectoren expliciet adresseren.
Deepfake-scams groeien uit tot wereldwijde fraude-operaties
De zogenoemde Nomani-scams gebruiken AI-video’s van beroemdheden, nagemaakte bedrijfsmerken en valse nieuwsplatformen om investeerders te lokken. Via gepersonaliseerde advertenties op sociale media worden slachtoffers naar phishingsites geleid. In H2 2024 groeide dit type aanval met 335%. Dagelijks werden ruim 100 nieuwe frauduleuze URLs ontdekt.
Voor organisaties is dit een wake-up call: reputatiemisbruik en deepfake-gebaseerde fraude kunnen direct impact hebben op merkvertrouwen en klantrelaties.
Ransomware: RansomHub neemt het stokje over van LockBit
Na de ontmanteling van LockBit ontstond een machtsvacuüm in het ransomware-as-a-service-ecosysteem. Dat werd razendsnel opgevuld door RansomHub, dat inmiddels bijna 500 slachtoffers noteerde, waaronder Halliburton en Kawasaki Europe. De groep combineert geavanceerde EDR-killers met een lage instapdrempel voor affiliates.
Daarnaast zien we nieuwe spelers zoals Embargo, die hun tools in Rust schrijven en BYOVD-technieken gebruiken. De ransomwaremarkt wordt diffuser én innovatiever.