Sophos publiceerde vandaag het 2025 Sophos Active Adversary Report. Dat rapport biedt inzichten in het gedrag en de technieken van cybercriminelen op basis van meer dan 400 Managed Detection & Response (MDR)- en Incident Response (IR)-incidenten in 2024. Zo blijkt dat hackers voornamelijk toegang krijgen tot netwerken (in 56% van alle MDR- en IR-incidenten) door met geldige accounts in te loggen op externe remote services, waaronder randapparatuur zoals firewalls en VPN’s.
De combinatie van externe remote services en geldige accounts is een van de voornaamste aanvalsmethoden voor hackers. Gecompromitteerde inloggegevens vormen voor het tweede jaar op rij de hoofdoorzaak (41% van de incidenten), gevolgd door misbruik van kwetsbaarheden (21,79%) en brute force-aanvallen (21,07%).
Inzicht in de snelheid van aanvallen
Bij de MDR- en IR-analyses keek het X-Ops-team van Sophos specifiek naar incidenten met ransomware, data-exfiltratie en data-afpersing om in kaart te brengen hoe snel hackers de verschillende stadia van een aanval doorliepen. In die drie soorten incidenten bedroeg de mediane tijd tussen het begin van een aanval en de exfiltratie slechts 72,98 uur (3,04 dagen). Tussen de exfiltratie en de detectie van de aanval bedroeg de mediane tijd bovendien slechts 2,7 uur.
“Passieve beveiliging volstaat niet langer. Hoewel preventie essentieel is, is een snelle reactie nog belangrijker. Organisaties moeten hun netwerken actief monitoren en prompt reageren op telemetriegegevens. Gecoördineerde cyberaanvallen door gemotiveerde hackers vereisen ook een gecoördineerde verdediging. Voor veel organisaties betekent dit dat bedrijfsspecifieke kennis moet worden gecombineerd met detectie en respons door experts. Ons rapport bevestigt dat organisaties met proactieve monitoring aanvallen sneller detecteren en zo de schade kunnen beperken”, aldus John Shier, Field CISO.
Andere belangrijke bevindingen uit het 2025 Sophos Active Adversary Report:
- Hackers kunnen in slechts 11 uur de controle over een systeem overnemen: De mediane tijd tussen de eerste actie van de hackers en hun eerste (vaak succesvolle) poging om de Active Directory (AD) – een van de belangrijkste elementen in een Windows-netwerk – binnen te dringen, bedroeg slechts 11 uur. Als dit lukt, kunnen ze makkelijker de controle over de organisatie overnemen.
- Voornaamste ransomwaregroepen in de Sophos-incidenten: Akira was de meest voorkomende ransomwaregroep in 2024, gevolgd door Fog en LockBit (ondanks de ontmanteling van LockBit bij een internationale operatie eerder in het jaar).
- Verblijftijd gedaald tot 2 dagen: De verblijftijd – de tijd tussen het begin van een aanval en het moment van detectie – daalde van 4 dagen naar 2 dagen in 2024, vooral door de toevoeging van MDR-incidenten aan de dataset.
Verblijftijd bij IR-incidenten: De verblijftijd bleef stabiel op 4 dagen voor ransomware-aanvallen en 11,5 dagen voor niet-ransomware-incidenten. - Verblijftijd bij MDR-incidenten: Uit de MDR-analyses bleek de verblijftijd van slechts 3 dagen voor ransomware-incidenten en slechts 1 dag voor niet-ransomware-incidenten. Dit zou erop kunnen wijzen dat MDR-teams sneller aanvallen kunnen detecteren en erop reageren.
- Ransomwaregroepen werken ’s nachts: In 2024 werd 83% van de ransomware-binaries gedropt buiten de lokale kantooruren van de aangevallen organisaties.
- Remote Desktop Protocol (RDP) blijft het favoriete doelwit: RDP was betrokken bij 84% van de MDR/IR-incidenten en is daarmee de meest misbruikte Microsoft-tool.
Voor een betere verdediging raadt Sophos bedrijven het volgende aan:
- Sluit blootgestelde RDP-poorten.
- Gebruik waar mogelijk phishing-bestendige multifactorauthenticatie (MFA).
- Installeer tijdig patches voor kwetsbare systemen en vooral voor met het internet verbonden apparaten en diensten.
- Zet EDR of MDR in en zorg voor proactieve monitoring 24/7.
- Stel een uitgebreid incidentresponsplan op en test dit regelmatig via simulaties of tabletop-oefeningen.
Lees hier het volledige verslag.
