Dominují útoky na identitu a roste množství zločineckých skupin

Dvě třetiny bezpečnostních incidentů mají kořeny ve slabinách spojených s identitou, útočníci jsou rychlejší a nejčastěji útočí mimo pracovní dobu.

 Sophosnzveřejnil studii Sophos Active Adversary Report 2026. Ta odhaluje, že 67 % všech bezpečnostních incidentů vyšetřovaných v loňském roce expertními týmy Sophos Incident Response (IR) a Managed Detection and Response (MDR) mělo původ v útocích zaměřených na identitu. Zjištění poukazují na to, že útočníci dále zneužívají kompromitované přihlašovací údaje, slabé nebo chybějící vícefaktorové ověřování (MFA) a nedostatečně chráněné systémy správy identit – často bez nutnosti nasadit nové nástroje nebo techniky.

Útoky na identitu se zrychlují, mezery v MFA přetrvávají

Studie ukazuje i trvalý nárůst útoků vycházejících z kompromitace identit, včetně odcizených přihlašovacích údajů, útoků hrubou silou a phishingu. Přestože zneužití zranitelností zůstává rizikem, útočníci se při počátečním přístupu stále více spoléhají na legitimní účty, což jim umožňuje obejít tradiční opatření na obranu perimetru. V 59 % případů také chybělo MFA, což usnadnilo zneužití odcizených a kompromitovaných přihlašovacích údajů k průniku do organizace. 

„Nejvíce znepokojivé zjištění studie se formovalo vlastně celé roky. Jde o dominanci příčin počátečního přístupu souvisejících s identitou. Kompromitované přihlašovací údaje, útoky hrubou silou, phishing a další taktiky využívají slabiny, které nelze řešit pouhým záplatováním. Organizace musí zaujmout proaktivní přístup k zabezpečení identit,“ řekl John Shier, Field CISO společnosti Sophos a hlavní autor zprávy.

Více skupin hrozeb, širší riziko

Výzkumníci společnosti Sophos zaznamenali nejvyšší počet aktivních skupin hrozeb v historii studie. Zásadně se tím prostředí hrozeb rozšířilo a zkomplikovala se možnost identifikace útočníků.

• Nejaktivnějšími ransomwarovými skupinami byly Akira (GOLD SAHARA) a Qilin (GOLD FEATHER). Akira dominovala ve 22 % incidentů.
• Ve zkoumaných případech se objevilo celkem 51 ransomwarových skupin, z toho 27 vracejících se a 24 nových.
• Pouze čtyři skupiny nebo techniky – LockBit, MedusaLocker, Phobos a zneužití nástroje BitLocker – jsou nepřetržitě aktivní od roku 2020, kdy byla realizována první studie Active Adversary Report. 

„Zásahy orgánů činných v trestním řízení i nadále narušují ekosystém ransomwaru. I když stále vidíme aktivitu skupiny LockBit, její dřívější dominance a reputace byly zjevně oslabeny. To však znamená, že o dominantní postavení usiluje množství dalších skupin, a nové stále vznikají. Pro obránce je důležité porozumět těmto skupinám a jejich taktice, technologiím a postupům, aby mohli co nejlépe chránit svou organizaci,“ pokračoval Shier.

Povyk okolo AI vs. realita

Navzdory rozšířeným předpovědím nenalezli experti Sophosu žádné důkazy o významné transformaci útočného chování s využitím umělé inteligence. Generativní AI sice zvýšila rychlost a propracovanost phishingu a sociálního inženýrství, ale zatím nevytvořila zásadně nové útočné techniky.

„AI přidává rozsah a šum, ale útočníky zatím nenahrazuje. I když by v budoucnu mohla být generativní AI dalším akcelerátorem, v současnosti stále záleží na základních opatřeních, mezi které patří silná ochrana identit, spolehlivá telemetrie a schopnost rychle reagovat, když se něco pokazí,“ řekl Shier.

Doporučení pro obránce

Na základě zjištění studie Active Adversary Report 2026 bezpečnostní experti společnosti Sophos doporučují organizacím:

• Nasadit MFA odolné vůči phishingu a ověřit jeho konfiguraci
• Omezit expozici infrastruktury pro správu identit a služeb přístupných z internetu
• Urychleně ošetřit známé zranitelnosti, zejména u zařízení na okraji sítě
• Zajistit nepřetržité monitorování prostřednictvím MDR nebo podobných kapacit
• Uchovávat a archivovat bezpečnostní logy pro podporu rychlé detekce a vyšetřování

Studie Sophos Active Adversary Report 2026 analyzovala 661 případů IR a MDR řešených v období od 1. listopadu 2024 do 31. října 2025 u organizací v 70 zemích a 34 odvětvích.

Zdroj: Sophos

Zdroj ilustračního obrázku: Vygenerováno pomocí AI