Versnelling van Cyberaanvallen: Slechts Drie Dagen om Gegevens te Exfiltreren
In een alarmerend rapport van Sophos, getiteld Active Adversary 2025, wordt bevestigd dat de snelheid van cyberaanvallen toeneemt. Het rapport onthult dat cybergroepen gemiddeld slechts drie dagen nodig hebben om gevoelige gegevens uit een netwerk te ontvreemden en binnen elf uur het Active Directory systeem van een organisatie te compromitteren. Dit bevestigt de dringende behoefte voor bedrijven om hun beveiligingsmaatregelen te verbeteren.
Verontrustende Statistieken
Het rapport stelt bovendien dat maar liefst 63% van de organisaties die in 2024 cyberaanvallen hebben ondergaan, geen multi-factor authenticatie (MFA) hebben ingesteld. Dit getal is bijna drie keer zo hoog als het percentage van 22% in 2022 en weerspiegelt dat gestolen inloggegevens de meest voorkomende oorzaak van aanvallen zijn, met 41% van de gevallen. Dit toont aan dat de basisprincipes van cyberbeveiliging vaak worden verwaarloosd in de strijd tegen cybercriminaliteit.
Tijd is van Essentieel Belang
De gemiddelde tijd die een aanvaller nodig heeft om vertrouwelijke gegevens te exfiltreren na toegang tot een netwerk is dus maar 72 uur. Dit betekent dat er in hetzelfde tijdsbestek al verschillende gevallen van ransomware en afpersing kunnen plaatsvinden. Bovendien is de tijd tussen de gegevensdiefstal en detectie gemiddeld slechts 2,7 uur, wat aantoont hoe moeilijk het is om effectief te reageren eens een aanval begonnen is.
“Bedrijven moeten overstappen van een passieve naar een actieve en gecoördineerde beveiliging,” zegt John Shier, Field CISO van Sophos. “Een combinatie van proactieve monitoring en deskundige respons is cruciaal om de uitkomst van een aanval te beïnvloeden.”
Belangrijke Inzichten uit het Rapport
- 71% van de aanvankelijke toegangspogingen vond plaats via externe remote services zoals VPN’s of blootgestelde firewalls. Van deze pogingen ging 79% gepaard met het gebruik van gestolen inloggegevens.
- Aanvallers hebben gemiddeld slechts 11 uur nodig om het Active Directory te compromitteren, wat hen volledige controle over het interne netwerk biedt.
- Het ransomware-groep Akira was het actiefst in 2024, gevolgd door Fog en LockBit, met laatstgenoemde ondanks een gedeeltelijke uitschakeling.
- De gemiddelde verblijftijd na een inbraak is gedaald tot 2 dagen, mede door de opkomst van Managed Detection and Response (MDR) diensten die bedreigingen veel sneller detecteren dan traditionele methoden.
- 84% van de ransomware-aanvallen vond plaats buiten reguliere werktijden van de slachtoffers, waardoor de kans op detectie kleiner was.
- Het Microsoft RDP-protocol blijft het meest geëxploiteerde kwetsbaarheid, aanwezig in 84% van de gevallen.
MFA: De Vergeetachtige Verdediging
Een van de meest zorgwekkende bevindingen uit het rapport is dat in 2024, 66% van de organisaties zonder MDR en 62% van de organisaties met MDR geen MFA hadden ingeschakeld. Deze fundamentele configuratiefout getuigt van het feit dat, ook al worden detectietools steeds geavanceerder, veel omgevingen geen basale verdedigingsmechanismen toepassen.
Het gebrek aan MFA, in combinatie met onbeschermde systemen, kwetsbare VPN’s of niet-ondersteunde apparaten, plaatst veel bedrijven in een kritieke blootstelling. Ondanks de toenemende inzet van hulpmiddelen zoals Impacket en technieken zoals laterale beweging, had 47% van de geanalyseerde omgevingen geen volledige logs, wat het onderzoek aanzienlijk bemoeilijkt.
Conclusie: Strategie boven Gereedschappen
Het rapport van Sophos benadrukt dat organisaties die een combinatie van preventie, actieve detectie en snelle reacties implementeren, betere resultaten boeken tegen steeds complexere en snel opererende aanvallen. De afwezigheid van MFA en andere essentiële maatregelen blijven een veelvoorkomende en te vermijden kwetsbaarheid.
“Cybercriminelen slapen niet, en de gegevens bewijzen het: drie dagen zijn voldoende om jouw informatie te stelen en je systeem te versleutelen. Cyberbeveiliging is vandaag de dag geen keuze, het is een kwestie van bedrijfscontinuïteit,” concludeert Shier.
Voor het volledige rapport, “It Takes Two: The 2025 Sophos Active Adversary Report,” kunt u terecht op de website van Sophos.