A kiberbiztonsági támadások elleni védekezésben élen járó Sophos kiadta a 2025-ös Sophos Active Adversary jelentést, amely a 2024-es év több mint 400 Kezelt Felderítés és Válaszadás (MDR) és Incidenskezelési (IR) esetéből származó támadói viselkedéseket és technikákat elemzi. A jelentés megállapította, hogy a támadók elsősorban külső távoli szolgáltatások kihasználásával, (beleértve az olyan peremeszközöket, mint a tűzfalak és a VPN-ek), érvényes fiókok felhasználásával szereztek kezdeti hozzáférést a hálózatokhoz.
A külső távoli szolgáltatások és az érvényes fiókok kombinációja megegyezik a támadások legfőbb kiváltó okaival. A második egymást követő évben a veszélyeztetett hitelesítő adatok voltak a támadások első számú kiváltó okai (az esetek 41 százaléka). Ezt követte a kihasznált sebezhetőségek (21,79 százalék) és a nyers erővel végrehajtott támadások (21,07 százalék).
Fotó: Depositphotos
A Sophos X-Ops csapata az MDR és IR vizsgálatok elemzése során különösen a zsarolóvírusos támadásokra, adatszivárogtatásra és adatmegzsarolásra összpontosított, hogy feltérképezze, milyen gyorsan haladnak végig a támadók egy szervezeten belül a támadás egyes szakaszain. Ebben a három esetkategóriában az átlagos idő a támadás kezdete és az adatok kiszivárogtatása között mindössze 72,98 óra (3,04 nap) volt. Ezen túlmenően az adatszivárogtatás és a támadás észlelése között átlagosan csupán 2,7 óra telt el.
