Hengelo,
24 februari 2026 - Sophos, een wereldwijd leider in innovatieve
beveiligingsoplossingen voor het bestrijden van cyberaanvallen, heeft het
Sophos Active Adversary Report 2026 gepubliceerd. Hieruit
blijkt dat 67% van alle incidenten die vorig jaar door de Incident
Response (IR) en Managed Detection and Response (MDR)-teams van Sophos
zijn onderzocht, hun oorsprong vonden in identiteitsgerelateerde
aanvallen. De bevindingen benadrukken hoe aanvallers misbruik blijven
maken van gecompromitteerde inloggegevens, zwakke of ontbrekende
multifactorauthenticatie (MFA) en slecht beveiligde identiteitssystemen –
vaak zonder dat ze nieuwe tools of technieken hoeven in te zetten.
De
belangrijkste bevindingen zijn als volgt:
- Een verschuiving van misbruikte kwetsbaarheden
naar gecompromitteerde inloggegevens, waarbij brute-force-aanvallen
(15,6%) bijna even vaak voorkomen als exploitatie (16%) als initiële
toegangsmethode.
- De mediane detectie-interval daalde naar drie
dagen. Dit werd veroorzaakt door de bewegingen van aanvallers, maar
ook door snellere reacties van verdedigers. Dit was met name
merkbaar in MDR-omgevingen.
- Aanvallers bereiken de Active Directory (AD)
steeds sneller. Als de aanvaller eenmaal binnen is bij een
organisatie duurt het slechts 3,4 uur voordat hij de AD-server
bereikt.
- Ransomware blijft een activiteit die vooral
buiten kantooruren plaatsvindt. 88% van de ransomware-aanvallen
wordt buiten kantooruren uitgevoerd. Evenzo vindt 79% van de
data-exfiltratie plaats buiten kantooruren.
- Het gebrek aan telemetrie ondermijnt de
verdedigingsinspanningen. Het aantal ontbrekende logboeken als
gevolg van problemen met gegevensretentie is ten opzichte van vorig
jaar verdubbeld. Deze stijging werd grotendeels veroorzaakt door
firewalls met een standaard bewaartermijn van slechts zeven dagen,
en in sommige gevallen 24 uur.
Aanvallen
op identiteitsfraude nemen toe, terwijl lacunes in MFA blijven bestaan
Het
rapport toont een aanhoudende stijging van aanvallen die gebaseerd zijn
op identiteitsfraude, waaronder gestolen inloggegevens,
brute-force-aanvallen en phishing. Hoewel misbruik van kwetsbaarheden nog
steeds een rol speelt, vertrouwen aanvallers steeds vaker op geldige
accounts om initiële toegang te verkrijgen, waardoor ze traditionele
perimeterbeveiligingen kunnen omzeilen. In 59% van de gevallen ontbrak
MFA, wat het misbruik van gestolen en gecompromitteerde inloggegevens om
een organisatie binnen te dringen vergemakkelijkt.
"De meest zorgwekkende bevinding in het rapport is
eigenlijk al jaren aan de gang: de dominantie van identiteitsgerelateerde
oorzaken voor succesvolle initiële toegang. Gecompromitteerde
inloggegevens, brute-force-aanvallen, phishing en andere tactieken maken
gebruik van zwakke punten die niet kunnen worden verholpen met eenvoudige
patches. Organisaties moeten een proactieve aanpak hanteren voor
identiteitsbeveiliging", aldus John Shier, Field CISO en hoofdauteur
van het rapport.
Meer
dreigingsgroepen, groter risico
Onderzoekers
van Sophos constateerden het hoogste aantal actieve dreigingsgroepen
sinds het eerste onderzoek naar dit onderwerp. Dit maakt dat het
dreigingslandschap zich uitbreidt en toewijzing van de daders lastiger
wordt.
- Akira (GOLD SAHARA) en Qilin (GOLD FEATHER) waren de meest
actieve ransomwaremerken, waarbij Akira in 22% van de incidenten
domineerde.
- Er kwamen 51 ransomwaremerken voor in de cases
die zijn onderzocht, waaronder 27 terugkerende merken en 24 nieuwe.
- Slechts vier merken of technieken – LockBit,
MedusaLocker, Phobos en misbruik van BitLocker – zijn sinds 2020,
het eerste jaar van het Active Adversary-onderzoek, continu actief
gebleven.
“De acties
van de wetshandhaving blijven de ransomware-ecosystemen ontwrichten.
Hoewel we nog steeds activiteit van LockBit zien, is de dominantie en
reputatie die het ooit had duidelijk aangetast. Dit betekent echter dat
we een reeks andere groepen zien die strijden om dominantie en dat er
veel meer groepen opduiken. Voor verdedigers is het belangrijk om de
groepen en hun TTP's te begrijpen om hun organisatie zo goed mogelijk te
beschermen”, aldus Shier.
AI-hype
ontmoet realiteit
Ondanks
wijdverspreide voorspellingen vond Sophos geen bewijs voor een grote door
AI gedreven transformatie in het gedrag van aanvallers. Hoewel
generatieve AI de snelheid en verfijning van phishing en social
engineering heeft vergroot, heeft het nog geen fundamenteel nieuwe
aanvalstechnieken voortgebracht.
"AI
voegt schaal en ruis toe, maar vervangt aanvallers nog niet. Hoewel GenAI
in de toekomst de volgende versneller zou kunnen zijn, blijven de
basisprincipes nu van belang: sterke identiteitsbescherming, betrouwbare
telemetrie en het vermogen om snel te reageren wanneer er iets
misgaat", aldus Shier.
Belangrijkste
verdedigingsmaatregelen
Op
basis van de bevindingen van het Active Adversary Report 2026 adviseert
Sophos organisaties het volgende:
- Implementeer phishingbestendige MFA en valideer
de configuratie ervan
- Beperk de blootstelling van de
identiteitsinfrastructuur en internetgerichte services
- Patch bekende kwetsbaarheden onmiddellijk, met
name op edge-apparaten
- Zorg voor 24/7 monitoring via MDR of
vergelijkbare mogelijkheden
- Bewaar beveiligingslogboeken ter ondersteuning
van snelle detectie en onderzoek
Het Sophos
Active Adversary Report 2026 analyseerde 661 IR- en MDR-cases die tussen
1 november 2024 en 31 oktober 2025 werden behandeld, bij organisaties in
70 landen en 34 sectoren. Lees
hier het volledige rapport.
Over Sophos
Sophos is wereldwijd een toonaangevende innovator op het gebied van
geavanceerde cybersecurity-oplossingen in de strijd tegen cyberaanvallen.
Het bedrijf nam Secureworks over in februari 2025 en bracht zo twee
pioniers samen die de cybersecuritysector gevormd hebben met hun
innovatieve, native AI-geoptimaliseerde diensten, technologieën en
producten. Sophos is nu de grootste pure-play Managed Detection &
Response (MDR)-provider en ondersteunt meer dan 28.000 organisaties.
Behalve MDR omvat het portfolio van Sophos toonaangevende security voor
endpoints, netwerk, e-mail en cloud, die zich integreert en aanpast om
beveiliging te bieden via het Sophos Central Platform. Secureworks levert
de innovatieve, toonaangevende Taegis XDR/MDR, identity threat detection
and response (ITDR), next-gen SIEM-mogelijkheden, managed risk en een
uitgebreid aanbod aan adviesdiensten. Sophos verkoopt al deze oplossingen
via resellerpartners, Managed Service Providers (MSP's) en Managed
Security Service Providers (MSSP's) wereldwijd, en beschermt meer dan
600.000 organisaties wereldwijd tegen phishing, ransomware,
gegevensdiefstal, andere dagelijkse en door staten gesponsorde
cybercriminaliteit. De oplossingen worden aangedreven door historische en
realtime dreigingsinformatie van Sophos X-Ops en de recent toegevoegde
Counter Threat Unit (CTU). Sophos heeft zijn hoofdkantoor in Oxford, VK.
Meer informatie is te vinden op
www.sophos.com.
Voor meer informatie
Favorite Agency
Linda van Essen
sophos@favorite.agency