Sophos-rapport: in 56% van de Sophos IR- en MDR-incidenten logden aanvallers in met gestolen wachtwoorden
2025 Sophos Active Adversary Report

Sophos-rapport: in 56% van de Sophos IR- en MDR-incidenten logden aanvallers in met gestolen wachtwoorden

Nieuws
Security
Redactie WINMAG Pro

Sophos, wereldwijde leider in innovatieve cyberbeveiligingsoplossingen, publiceert het 2025 Sophos Active Adversary Report. Dit rapport biedt inzichten in het gedrag en de technieken van cybercriminelen op basis van meer dan 400 Incident Response (IR)- en Managed Detection & Response (MDR)-incidenten uit 2024. Zo blijkt dat hackers voornamelijk toegang krijgen tot netwerken (in 56% van alle IR- en MDR-incidenten) door met geldige accounts in te loggen op externe remote services, waaronder randapparatuur zoals firewalls en VPN's.

Uit de IR- en MDR-incidenten blijkt dat aanvallers data in slechts drie dagen exfiltreren. Gecompromitteerde inloggegevens zijn voor het tweede jaar op rij de hoofdoorzaak.

De combinatie van externe remote services en geldige accounts is een van de meest voorkomende aanvals­methoden van hackers. Gecompromitteerde inloggegevens zijn voor het tweede jaar op rij de hoofdoorzaak (41% van de incidenten), gevolgd door misbruik van kwetsbaarheden (21,79%) en brute force-aanvallen (21,07%).

Inzicht in de snelheid van aanvallen

Bij de IR- en MDR-analyses keek het X-Ops-team van Sophos specifiek naar incidenten met ransomware, data-exfiltratie en data-afpersing om in kaart te brengen hoe snel hackers de verschillende stadia van een aanval doorliepen. Bij deze drie soorten incidenten was de mediane tijd tussen het begin van een aanval en de exfiltratie slechts 72,98 uur (3,04 dagen). De mediane tijd tussen de exfiltratie en de detectie van de aanval was slechts 2,7 uur.

“Passieve beveiliging volstaat niet langer. Hoewel preventie essentieel is, is een snelle reactie nog belangrijker. Organisaties moeten hun netwerken actief monitoren en snel reageren op telemetrie­gegevens. Gecoördineerde cyberaanvallen door hackers vereisen ook een gecoördineerde verdediging. Voor veel organisaties betekent dit dat bedrijfsspecifieke kennis moet worden gecombineerd met detectie en respons door experts. Ons rapport bevestigt dat organisaties met proactieve monitoring aanvallen sneller detecteren en zo de schade kunnen beperken”, aldus John Shier, Field CISO bij Sophos.

Andere belangrijke bevindingen uit het 2025 Sophos Active Adversary Report:
 

  • Hackers kunnen in slechts 11 uur de controle over een systeem overnemen: de mediane tijd tussen de eerste actie van de hackers en hun eerste (vaak succesvolle) poging om de Active Directory (AD) – een van de belangrijkste elementen in een Windows-netwerk – binnen te dringen, bedroeg slechts 11 uur. Als dit lukt, kunnen ze eenvoudiger de controle over de organisatie overnemen.
  • Voornaamste ransomwaregroepen verantwoordelijk voor Sophos-incidenten: Akira was de meest voorkomende ransomwaregroep in 2024, gevolgd door Fog en LockBit (ondanks de ontmanteling van LockBit bij een internationale operatie eerder in het jaar).
  • Verblijftijd gedaald tot 2 dagen: de verblijftijd – de tijd tussen het begin van een aanval en het moment van detectie – daalde van 4 dagen naar 2 dagen in 2024, vooral door MDR-incidenten aan de dataset toe te voegen.
  • Verblijftijd bij IR-incidenten: de verblijftijd bleef stabiel op 4 dagen voor ransomware-aanvallen en 11,5 dagen voor niet-ransomware-incidenten.
  • Verblijftijd bij MDR-incidenten: uit de MDR-analyses bleek een verblijftijd van slechts 3 dagen voor ransomware-incidenten en slechts 1 dag voor niet-ransomware-incidenten. Dit zou erop kunnen wijzen dat MDR-teams sneller aanvallen kunnen detecteren en erop reageren.
  • Ransomwaregroepen werken 's nachts: in 2024 werd 83% van de ransomware-binaries gedropt buiten de lokale kantooruren van de aangevallen organisaties.
  • Remote Desktop Protocol (RDP) blijft het favoriete doelwit: RDP was betrokken bij 84% van de IR/MDR-incidenten en is daarmee de meest misbruikte Microsoft-tool.

Voor een betere verdediging raadt Sophos bedrijven het volgende aan:
 

  • Sluit blootgestelde RDP-poorten.
  • Gebruik waar mogelijk phishing-bestendige multifactorauthenticatie (MFA).
  • Installeer tijdig patches voor kwetsbare systemen en vooral voor apparaten en diensten die met het internet verbonden zijn.
  • Zet EDR of MDR in en zorg voor 24/7 proactieve monitoring.
  • Stel een uitgebreid incidentresponsplan op en test dit regelmatig via simulaties of tabletop-oefeningen.

Lees het volledige verslag ‘It Takes Two: The 2025 Sophos Active Adversary Report’ op Sophos.com.

Lees meer

De zaken gaan nog steeds goed in de ICT branche
De zaken gaan nog steeds goed in de ICT branche
NCSC en DTC lanceren basisprincipes voor digitale weerbaarheid van bedrijven
NCSC en DTC lanceren basisprincipes voor digitale weerbaarheid van bedrijven
Hadrian lanceert AI-tool voor subdomeindetectie
Hadrian lanceert AI-tool voor subdomeindetectie
Cyberbeveiliger CrowdStrike ziet jaaromzet 31% stijgen ondanks veroorzaken grootste IT-storing ooit
Cyberbeveiliger CrowdStrike ziet jaaromzet 31% stijgen ondanks veroorzaken grootste IT-storing ooit
Dit is waarom veel bedrijven hun IT-beheer tegenwoordig uitbesteden
Dit is waarom veel bedrijven hun IT-beheer tegenwoordig uitbesteden
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie