Cybercriminelen buiten op grote schaal gestolen inloggegevens uit voor initiële toegang

Dit blijkt uit het 2025 Sophos Active Adversary Report, dat inzichten biedt in het gedrag en de technieken van cybercriminelen op basis van meer dan 400 Incident Response (IR)- en Managed Detection & Response (MDR)-incidenten uit 2024. Het X-Ops-team van Sophos keek voor het onderzoek specifiek naar incidenten met ransomware, data-exfiltratie en data-afpersing om in kaart te brengen hoe snel hackers de verschillende stadia van een aanval doorliepen. Bij deze drie soorten incidenten was de mediane tijd tussen het begin van een aanval en de exfiltratie slechts 72,98 uur (3,04 dagen). De mediane tijd tussen de exfiltratie en de detectie van de aanval was slechts 2,7 uur.

'Passieve beveiliging volstaat niet langer'

“Passieve beveiliging volstaat niet langer. Hoewel preventie essentieel is, is een snelle reactie nog belangrijker. Organisaties moeten hun netwerken actief monitoren en snel reageren op telemetrie­gegevens. Gecoördineerde cyberaanvallen door hackers vereisen ook een gecoördineerde verdediging. Voor veel organisaties betekent dit dat bedrijfsspecifieke kennis moet worden gecombineerd met detectie en respons door experts. Ons rapport bevestigt dat organisaties met proactieve monitoring aanvallen sneller detecteren en zo de schade kunnen beperken”, aldus John Shier, Field CISO bij Sophos.

Hackers kunnen in slechts 11 uur de controle over een systeem overnemen: de mediane tijd tussen de eerste actie van de hackers en hun eerste (vaak succesvolle) poging om de Active Directory (AD) – een van de belangrijkste elementen in een Windows-netwerk – binnen te dringen, bedroeg slechts 11 uur. Als dit lukt, kunnen ze eenvoudiger de controle over de organisatie overnemen.

Akira was de meest voorkomende ransomwaregroep in 2024, gevolgd door Fog en LockBit (ondanks de ontmanteling van LockBit bij een internationale operatie eerder in het jaar).

Verblijftijd gedaald tot 2 dagen

De verblijftijd – de tijd tussen het begin van een aanval en het moment van detectie – daalde van 4 dagen naar 2 dagen in 2024, vooral door MDR-incidenten aan de dataset toe te voegen. De verblijftijd bij IR-incidenten bleef stabiel op 4 dagen voor ransomware-aanvallen en 11,5 dagen voor niet-ransomware-incidenten. De verblijftijd bij MDR-incidenten bedraagt bij ransomware-incidenten 3 dagen, en bij niet-ransomware-aanvallen 1 dag. Dit kan er volgens Sophos op kunnen wijzen dat MDR-teams sneller aanvallen kunnen detecteren en erop reageren.

In 2024 werd 83% van de ransomware-binaries gedropt buiten de lokale kantooruren van de aangevallen organisaties. Veel cybercriminelen werken dus 's nachts.

Remote Desktop Protocol (RDP) was betrokken bij 84% van de IR/MDR-incidenten en is daarmee de meest misbruikte Microsoft-tool.

Advies

Voor een betere verdediging raadt Sophos bedrijven het volgende aan:

• Sluit blootgestelde RDP-poorten.
• Gebruik waar mogelijk phishing-bestendige multifactorauthenticatie (MFA).
• Installeer tijdig patches voor kwetsbare systemen en vooral voor apparaten en diensten die met het internet verbonden zijn.
• Zet EDR of MDR in en zorg voor 24/7 proactieve monitoring.
• Stel een uitgebreid incidentresponsplan op en test dit regelmatig via simulaties of tabletop-oefeningen.

Meer informatie is beschikbaar in het rapport ‘It Takes Two: The 2025 Sophos Active Adversary Report’.