Sophos-onderzoek: twee derde van de beveiligingsincidenten is terug te voeren op identiteitsgerelateerde aanvallen

Hengelo, 24 februari 2026 – Sophos, een wereldwijd leider in innovatieve beveiligingsoplossingen voor het bestrijden van cyberaanvallen, heeft het Sophos Active Adversary Report 2026 gepubliceerd. Hieruit blijkt dat 67% van alle incidenten die vorig jaar door de Incident Response (IR) en Managed Detection and Response (MDR)-teams van Sophos zijn onderzocht, hun oorsprong vonden in identiteitsgerelateerde aanvallen. De bevindingen benadrukken hoe aanvallers misbruik blijven maken van gecompromitteerde inloggegevens, zwakke of ontbrekende multifactorauthenticatie (MFA) en slecht beveiligde identiteitssystemen – vaak zonder dat ze nieuwe tools of technieken hoeven in te zetten.

De belangrijkste bevindingen zijn als volgt:

• Een verschuiving van misbruikte kwetsbaarheden naar gecompromitteerde inloggegevens, waarbij brute-force-aanvallen (15,6%) bijna even vaak voorkomen als exploitatie (16%) als initiële toegangsmethode.
• De mediane detectie-interval daalde naar drie dagen. Dit werd veroorzaakt door de bewegingen van aanvallers, maar ook door snellere reacties van verdedigers. Dit was met name merkbaar in MDR-omgevingen.
• Aanvallers bereiken de Active Directory (AD) steeds sneller. Als de aanvaller eenmaal binnen is bij een organisatie duurt het slechts 3,4 uur voordat hij de AD-server bereikt.
• Ransomware blijft een activiteit die vooral buiten kantooruren plaatsvindt. 88% van de ransomware-aanvallen wordt buiten kantooruren uitgevoerd. Evenzo vindt 79% van de data-exfiltratie plaats buiten kantooruren.
• Het gebrek aan telemetrie ondermijnt de verdedigingsinspanningen. Het aantal ontbrekende logboeken als gevolg van problemen met gegevensretentie is ten opzichte van vorig jaar verdubbeld. Deze stijging werd grotendeels veroorzaakt door firewalls met een standaard bewaartermijn van slechts zeven dagen, en in sommige gevallen 24 uur.

Aanvallen op identiteitsfraude nemen toe, terwijl lacunes in MFA blijven bestaan
Het rapport toont een aanhoudende stijging van aanvallen die gebaseerd zijn op identiteitsfraude, waaronder gestolen inloggegevens, brute-force-aanvallen en phishing. Hoewel misbruik van kwetsbaarheden nog steeds een rol speelt, vertrouwen aanvallers steeds vaker op geldige accounts om initiële toegang te verkrijgen, waardoor ze traditionele perimeterbeveiligingen kunnen omzeilen. In 59% van de gevallen ontbrak MFA, wat het misbruik van gestolen en gecompromitteerde inloggegevens om een ​​organisatie binnen te dringen vergemakkelijkt.

“De meest zorgwekkende bevinding in het rapport is eigenlijk al jaren aan de gang: de dominantie van identiteitsgerelateerde oorzaken voor succesvolle initiële toegang. Gecompromitteerde inloggegevens, brute-force-aanvallen, phishing en andere tactieken maken gebruik van zwakke punten die niet kunnen worden verholpen met eenvoudige patches. Organisaties moeten een proactieve aanpak hanteren voor identiteitsbeveiliging”, aldus John Shier, Field CISO en hoofdauteur van het rapport.

Meer dreigingsgroepen, groter risico
Onderzoekers van Sophos constateerden het hoogste aantal actieve dreigingsgroepen sinds het eerste onderzoek naar dit onderwerp. Dit maakt dat het dreigingslandschap zich uitbreidt en toewijzing van de daders lastiger wordt.

• Akira (GOLD SAHARA) en Qilin (GOLD FEATHER) waren de meest actieve ransomwaremerken, waarbij Akira in 22% van de incidenten domineerde.
• Er kwamen 51 ransomwaremerken voor in de cases die zijn onderzocht, waaronder 27 terugkerende merken en 24 nieuwe.
• Slechts vier merken of technieken – LockBit, MedusaLocker, Phobos en misbruik van BitLocker – zijn sinds 2020, het eerste jaar van het Active Adversary-onderzoek, continu actief gebleven.

“De acties van de wetshandhaving blijven de ransomware-ecosystemen ontwrichten. Hoewel we nog steeds activiteit van LockBit zien, is de dominantie en reputatie die het ooit had duidelijk aangetast. Dit betekent echter dat we een reeks andere groepen zien die strijden om dominantie en dat er veel meer groepen opduiken. Voor verdedigers is het belangrijk om de groepen en hun TTP’s te begrijpen om hun organisatie zo goed mogelijk te beschermen”, aldus Shier.

AI-hype ontmoet realiteit
Ondanks wijdverspreide voorspellingen vond Sophos geen bewijs voor een grote door AI gedreven transformatie in het gedrag van aanvallers. Hoewel generatieve AI de snelheid en verfijning van phishing en social engineering heeft vergroot, heeft het nog geen fundamenteel nieuwe aanvalstechnieken voortgebracht.

“AI voegt schaal en ruis toe, maar vervangt aanvallers nog niet. Hoewel GenAI in de toekomst de volgende versneller zou kunnen zijn, blijven de basisprincipes nu van belang: sterke identiteitsbescherming, betrouwbare telemetrie en het vermogen om snel te reageren wanneer er iets misgaat”, aldus Shier.

Belangrijkste verdedigingsmaatregelen
Op basis van de bevindingen van het Active Adversary Report 2026 adviseert Sophos organisaties het volgende:

• Implementeer phishingbestendige MFA en valideer de configuratie ervan
• Beperk de blootstelling van de identiteitsinfrastructuur en internetgerichte services
• Patch bekende kwetsbaarheden onmiddellijk, met name op edge-apparaten
• Zorg voor 24/7 monitoring via MDR of vergelijkbare mogelijkheden
• Bewaar beveiligingslogboeken ter ondersteuning van snelle detectie en onderzoek

Het Sophos Active Adversary Report 2026 analyseerde 661 IR- en MDR-cases die tussen 1 november 2024 en 31 oktober 2025 werden behandeld, bij organisaties in 70 landen en 34 sectoren. Lees hier het volledige rapport.

Over Sophos
Sophos is wereldwijd een toonaangevende innovator op het gebied van geavanceerde cybersecurity-oplossingen in de strijd tegen cyberaanvallen. Het bedrijf nam Secureworks over in februari 2025 en bracht zo twee pioniers samen die de cybersecuritysector gevormd hebben met hun innovatieve, native AI-geoptimaliseerde diensten, technologieën en producten. Sophos is nu de grootste pure-play Managed Detection & Response (MDR)-provider en ondersteunt meer dan 28.000 organisaties. Behalve MDR omvat het portfolio van Sophos toonaangevende security voor endpoints, netwerk, e-mail en cloud, die zich integreert en aanpast om beveiliging te bieden via het Sophos Central Platform. Secureworks levert de innovatieve, toonaangevende Taegis XDR/MDR, identity threat detection and response (ITDR), next-gen SIEM-mogelijkheden, managed risk en een uitgebreid aanbod aan adviesdiensten. Sophos verkoopt al deze oplossingen via resellerpartners, Managed Service Providers (MSP’s) en Managed Security Service Providers (MSSP’s) wereldwijd, en beschermt meer dan 600.000 organisaties wereldwijd tegen phishing, ransomware, gegevensdiefstal, andere dagelijkse en door staten gesponsorde cybercriminaliteit. De oplossingen worden aangedreven door historische en realtime dreigingsinformatie van Sophos X-Ops en de recent toegevoegde Counter Threat Unit (CTU). Sophos heeft zijn hoofdkantoor in Oxford, VK. Meer informatie is te vinden op www.sophos.com.