image

Sophos: gestolen inloggegevens voornaamste oorzaak security-incidenten

vrijdag 4 april 2025, 14:20 door Redactie, 3 reacties

Gestolen wachtwoorden en andere inloggegevens zijn de voornaamste oorzaak van security-incidenten, zo stelt antivirusbedrijf Sophos in een rapport gebaseerd op eigen onderzoek. Van alle 413 aanvallen, incidenten en inbraken die de virusbestrijder onderzocht was meer dan 41 procent veroorzaakt door gestolen inloggegevens. Bij bijna 22 procent was misbruik gemaakt van een kwetsbaarheid en 21 procent was het gevolg van een bruteforce-aanval.

"Gecompromitteerde inloggegevens blijven verantwoordelijk voor een meerderheid van de incidenten. Waarom? Thuiscomputers en infostealers", zegt beveiligingsonderzoeker Kevin Beaumont. Een infostealer is malware speciaal ontwikkeld om allerlei inloggegevens van besmette systemen te stelen. Volgens Beaumont krijgen organisaties het meeste waar voor hun geld door overal multifactorauthenticatie (MFA) toe te passen, alles wat bereikbaar is vanaf het internet te patchen en op bruteforce-aanvallen te monitoren.

"Bruteforce en externe remote access is verantwoordelijk voor een groot deel van de incidenten, dat samenhangt met gestolen inloggegevens", gaat Beaumont verder. "Lang verhaal kort, je hebt echt robuuste authenticatie nodig. Als je het verkeerd doet ben je er in 2025 geweest." Ook moeten organisaties ervoor zorgen dat RDP niet vanaf internet toegankelijk is.

Beaumont adviseert ook te monitoren op de volgende software of die te blokkeren: SoftPerfect Network Scanner, AnyDesk, mimikatz, Rclone, WinRAR, Advanced IP Scanner en Advanced Port Scanner. Drie aanvallen zag Sophos het vaakst voorbij komen, namelijk ransomware-aanvallen, inbraken op netwerken en datadiefstal. De geanonimiseerde dataset is beschikbaar gemaakt op GitHub.

Reacties (3)
Gisteren, 16:17 door Anoniem
Eigenlijk verrassend dat bruteforce aanvallen zoveel voorkomen. Die zouden toch vrij makkelijk te detecteren en te blokkeren moeten zijn.

Misschien dat bepaalde methoden niet goed werken omdat ze de aanvallen vanaf 10.000 bots uitvoeren ipv 1 machine. Maar dan kan je nog steeds makkelijk vaststellen dat er in korte tijd extreem veel inlogpogingen op een account zijn.
Gisteren, 17:25 door Anoniem
Door Anoniem: Eigenlijk verrassend dat bruteforce aanvallen zoveel voorkomen. Die zouden toch vrij makkelijk te detecteren en te blokkeren moeten zijn.

Misschien dat bepaalde methoden niet goed werken omdat ze de aanvallen vanaf 10.000 bots uitvoeren ipv 1 machine. Maar dan kan je nog steeds makkelijk vaststellen dat er in korte tijd extreem veel inlogpogingen op een account zijn.
Ja, maar hoe kan een server dan onderscheiden of een inlogpoging met het juiste wachtwoord gehonoreerd moet worden of niet? Zonder 2FA blijft het behelpen, en blijven dat soort aanvallen de moeite van het proberen waard voor de aanvallers.
Gisteren, 17:42 door Anoniem
Wellicht door tarpitting op het account in het algemeen toe te passen ipv per IP adres?

De persoon met die ene inlogpoging met het juiste wachtwoord kan wel even wachten.
Als de keuze is om een gebruiker beperkte last te laten ervaren omdat er een bruteforce actief is of het account te laten compromiteren, dan weet ik wel waar ik voor kies.


Overigens was ik even vergeten dat je natuurlijk 2FA gebruikt. Maar waar komt dan die 21% vandaan?

Okay, 2FA doe je natuurlijk vooral bij zakelijke accounts en je bank account etc. Niet voor het zoveelste forum waar je op inlogt.
Maar de passwords van die fora zouden geen security incidenten moeten veroorzaken. Zouden er nog zo ongelooflijk veel mensen op een forum van hun hobby hetzelfde password gebruiker als voor het account bij hun werkgever?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.