Cybercriminelen breken steeds vaker organisaties binnen via gestolen inloggegevens in plaats van technische kwetsbaarheden. Dat blijkt uit het Sophos Active Adversary Report 2026, waarin beveiligingsbedrijf Sophos concludeert dat maar liefst 67 procent van alle onderzochte beveiligingsincidenten vorig jaar terug te voeren was op identiteitsgerelateerde aanvallen.
De cijfers onderstrepen volgens onderzoekers een duidelijke verschuiving in het dreigingslandschap: aanvallers richten zich minder op softwarelekken en steeds meer op menselijke en organisatorische zwakke plekken.
Beveiligingsincidenten
Het rapport is gebaseerd op 661 incidenten die tussen november 2024 en oktober 2025 werden onderzocht door de Incident Response- en Managed Detection and Response-teams van Sophos, verspreid over 70 landen en 34 sectoren. Daaruit blijkt dat cybercriminelen vooral profiteren van onvoldoende beveiligde accounts, ontbrekende multifactorauthenticatie (MFA) en slecht beheerde identiteitssystemen.
Inloggegevens als belangrijkste toegangspoort
Waar organisaties traditioneel veel aandacht besteden aan het patchen van software, kiezen aanvallers steeds vaker voor eenvoudiger routes. Brute-force-aanvallen waren verantwoordelijk voor 15,6 procent van de initiële toegangsmethoden, vrijwel gelijk aan exploitatie van kwetsbaarheden (zestien procent). In veel gevallen maakten aanvallers gebruik van geldige accounts, waardoor zij perimeterbeveiliging relatief eenvoudig konden omzeilen.
Opvallend is dat in 59 procent van de onderzochte incidenten geen MFA was ingeschakeld. Volgens John Shier, Field CISO bij Sophos en hoofdauteur van het rapport, vormt dit al jaren een structureel probleem. “De dominantie van identiteitsgerelateerde aanvallen laat zien dat traditionele beveiligingsmaatregelen niet voldoende zijn. Organisaties moeten identiteitsbeveiliging centraal stellen”, zo stelt hij.
Aanvallers bewegen sneller binnen netwerken
Het onderzoek toont ook aan dat cybercriminelen sneller opereren zodra zij toegang hebben verkregen. Gemiddeld duurt het slechts 3,4 uur voordat aanvallers kritieke systemen zoals Active Directory bereiken, het hart van veel bedrijfsnetwerken. Tegelijkertijd daalde de mediane detectietijd naar drie dagen, mede dankzij verbeterde monitoring in MDR-omgevingen.
Ransomware-aanvallen blijken bovendien grotendeels buiten kantooruren plaats te vinden: 88 procent van deze aanvallen gebeurde ’s avonds of in het weekend. Ook data-exfiltratie vond in 79 procent van de gevallen buiten werktijd plaats, vermoedelijk om detectie te vermijden.
Groeiende diversiteit aan ransomwaregroepen
Sophos signaleert daarnaast een recordaantal actieve dreigingsgroepen. In totaal werden 51 verschillende ransomwaremerken geïdentificeerd, waaronder 24 nieuwe varianten. Akira en Qilin waren het meest actief, terwijl bekende namen als LockBit minder dominant zijn geworden door internationale politieacties.
Volgens Sophos leidt deze versnippering tot een complexer dreigingslandschap waarin attributie moeilijker wordt en organisaties met meer uiteenlopende aanvalstechnieken rekening moeten houden.
AI verandert aanvallen minder snel dan verwacht
Hoewel generatieve AI vaak wordt gezien als een gamechanger voor cybercriminaliteit, vond Sophos geen bewijs voor een fundamentele revolutie in aanvalstechnieken. AI versnelt vooral bestaande methoden, zoals phishing en social engineering, maar introduceert voorlopig weinig volledig nieuwe tactieken.
De belangrijkste verdediging blijft volgens het rapport daarom relatief klassiek: phishingbestendige MFA, snelle patching, goede logging, beperkte blootstelling van systemen en continue monitoring.
De conclusie van Sophos is duidelijk: in een tijd waarin digitale identiteiten centraal staan, vormt juist de bescherming van accounts en toegangsrechten de sleutel tot effectieve cyberbeveiliging.