Cybercriminelen hebben weinig reden tot vernieuwen

Er was het afgelopen jaar veel te doen over de nieuwe mogelijkheden die cybercriminelen zouden krijgen door genAI in te zetten voor hun malafide praktijken. In de praktijk was daar maar op beperkte schaal wat van te merken, blijkt uit het Sophos Active Adversary Report 2026. Het gebruik van genAI was alleen te merken bij phishing en social engineering. Het taalgebruik in de berichten waarmee mensen verleid worden op links te klikken verbeterde en er werd geraffineerder omgegaan met de persoonlijke benadering. De onderzoekers stuitten maar op een geval waar een deepfake-video werd ingezet, maar zelfs die werd snel ontdekt en gemeld zodat geen verdere incident response-actie nodig was.

“Aanvallers breken niet in, ze loggen in”, concluderen de auteurs van het rapport. In 2025 was in 67 procent van de cybersecurity-incidenten gerelateerd aan identiteitsmisbruik. Het gaat daarbij om misbruik van inloggegevens, phishing, diefstal van tokens en het geautomatiseerd gokken van wachtwoorden. Wat het onderzoek niet gemakkelijker maakt is dat organisaties veel te weinig loggegevens bewaren waardoor niet terug te halen is hoe het misbruik van de identiteit is ontstaan. Aanvallers veranderen nauwelijks van tactieken, technieken en procedures (TTP’s). Dat maakt het voor organisaties gemakkelijker om preventieve maatregelen te treffen zodat aanvallen in een vroegtijdig stadium kunnen worden gestopt.

Datadiefstal naar recordhoogte

Aanvallers maken voor phishing vaak gebruik van een gemanipuleerd zakelijk e-mailaccount doordat de controle over een Microsoft365-account is overgenomen of er met een sterk gelijkende imitatie wordt gewerkt. Bekende voorbeelden zijn CEO-fraude waarbij een directielid vraagt met spoed een betaling te regelen. Ook worden medewerkers van de administratie wel bestookt met mededelingen dat voor een openstaande factuur een nieuw rekeningnummer moet worden gebruikt.
De onderzoekers zagen het afgelopen jaar datadiefstal tot een recordhoogte (12,7% van de incidenten) stijgen sinds de eerste publicatie van het Active Adversary Report in 2021. Als afpersen met ransomware niet lukt, beschikken de aanvallers over gevoelige gegevens die later kunnen worden gebruikt voor afpersing of kunnen worden verkocht, bijvoorbeeld op het dark web.

De auteurs noemen een aantal acties die organisaties bovenaan hun prioriteitenlijst zouden moeten zetten:

• Maak identity hardening prioriteit #1: phishingbestendige MFA (FIDO/passwordless), strakke (her)authenticatie en Token Protection / gebonden sessietokens waar mogelijk (M365/Entra ID).
• Blokkeer Python waar het niet strikt nodig is en controleer op Python-gebruik waar het wél nodig is. Impacket – een open-source Python toolkit die door aanvallers veel wordt gebruikt – kan daarmee worden gestopt.
• Stop met besparen op telemetry/logging: vergroot logretentie, met name bij de firewall, en zorg dat cruciale logs beschikbaar zijn.
• Reduceer basisrisico’s: sluit Remote Desktop Protocol (RDP) af voor internet, patch servers, vervang verouderde systemen en bescherm zoveel mogelijk systemen met endpoint-beveiliging.
• Bescherm Active Directory extra met een detectie van ongebruikelijke acties.