A jelentés megállapította, hogy a támadók elsősorban külső távoli szolgáltatások kihasználásával, (beleértve az olyan peremeszközöket, mint a tűzfalak és a VPN-ek), érvényes fiókok felhasználásával szereztek kezdeti hozzáférést a hálózatokhoz.
A külső távoli szolgáltatások és az érvényes fiókok kombinációja megegyezik a támadások legfőbb kiváltó okaival. A második egymást követő évben a veszélyeztetett hitelesítő adatok voltak a támadások első számú kiváltó okai (az esetek 41%-a). Ezt követte a kihasznált sebezhetőségek (21,79%) és a nyers erővel végrehajtott támadások (21,07%).
A támadások sebességének megértése
A Sophos X-Ops csapata az MDR és IR vizsgálatok elemzése során különösen a zsarolóvírusos támadásokra, adatszivárogtatásra és adatmegzsarolásra összpontosított, hogy feltérképezze, milyen gyorsan haladnak végig a támadók egy szervezeten belül a támadás egyes szakaszain.
Ebben a három esetkategóriában az átlagos idő a támadás kezdete és az adatok kiszivárogtatása között mindössze 72,98 óra (3,04 nap) volt. Ezen túlmenően az adatszivárogtatás és a támadás észlelése között átlagosan csupán 2,7 óra telt el.
„A passzív biztonság már nem elegendő. Bár a megelőzés elengedhetetlen, a gyors reagálás kritikus fontosságú. A szervezeteknek aktívan kell figyelniük a hálózatukat, és gyorsan kell cselekedniük az észlelt telemetriai adatok alapján. A motivált ellenfelek összehangolt támadásai összehangolt védelmet igényelnek.
Sok szervezet számára ez azt jelenti, hogy az üzleti specifikus tudást szakértők által vezetett észleléssel és reagálással kell kombinálniuk. Jelentésünk megerősíti, hogy azok a szervezetek, amelyek proaktív monitorozást alkalmaznak, gyorsabban észlelik a támadásokat, és jobb eredményeket érnek el” – mondta John Shier, CISO.
A 2025-ös Sophos Active Adversary jelentése további kulcsfontosságú megállapításai:
● A támadók mindössze 11 óra alatt átvehetik az irányítást egy rendszer felett:. ami átlagos időt jelenti a támadók első lépése és az Active Directory (AD) (a Windows-hálózatok egyik legfontosabb eleme) feletti rendelkezés megszerzése között.
● Az első (gyakran sikeres) feltörési kísérlete között csupán 11 óra volt. Ha a támadók sikerrel járnak, sokkal könnyebben átvehetik az irányítást a szervezet felett.
● A leggyakoribb zsarolóvírus-csoportok a Sophos eseteiben: 2024-ben az Akira volt a leggyakrabban észlelt zsarolóvírus-csoport, amelyet Fog és LockBit követett annak ellenére, hogy a hatóságok az év elején lekapcsolták a LockBit hálózatát.
● A tartózkodási idő (Dwell Time) mindössze 2 napra csökkent – Nagyrészt az MDR-nek köszönhetően: Összességében a tartózkodási idő – azaz a támadás kezdetétől annak észleléséig eltelt idő – 2024-ben 4 napról 2 napra csökkent, ami nagyrészt az MDR-esetek hozzáadásának köszönhető az adatbázishoz.
● Tartózkodási idő az IR esetekben: A tartózkodási idő stabil maradt a zsarolóvírusos támadásoknál 4 napon, míg a nem zsarolóvírusos eseteknél 11,5 napon.
● Tartózkodási idő az MDR esetekben: Az MDR-vizsgálatok során a tartózkodási idő mindössze 3 nap volt a zsarolóvírusos eseteknél, és csupán 1 nap a nem zsarolóvírusos eseteknél, ami arra utal, hogy az MDR csapatok gyorsabban képesek észlelni és reagálni a támadásokra
● A zsarolóvírus-csoportok éjjelenként dolgoznak: 2024-ben a zsarolóvírus-binaryk 84%-át a célpontok helyi munkaidőn kívül helyezték el.
● A Távoli Asztali Protokoll (RDP) továbbra is dominál: Az RDP az MDR/IR esetek 84%-ában szerepelt, így ez a leggyakrabban kihasznált Microsoft eszköz.
