Három nap sem egy kell a zsarolóknak: így lopják el a jelszavakat, tesznek tönkre mindent

A Sophos közzétette a 2026-os Active Adversary Report elemzését, amely szerint a tavaly vizsgált incidensek 67%-a hitelesítéssel kapcsolatos gyengeségekre vezethető vissza. A megállapítás különösen fontos a magyar szervezetek számára is, ahol a digitalizáció gyorsulása és a NIS2 megfelelési kötelezettségek miatt egyre nagyobb figyelem irányul az identitásvédelemre és a folyamatos monitorozásra.

A kezdeti hozzáférés egyre inkább kompromittált jelszavakon keresztül történik: a brute-force támadások ((ez egy olyan módszer, amikor a támadó rengeteg jelszó- vagy kódkombinációt próbál ki egymás után, amíg meg nem találja a helyeset) aránya (15,6%) már szinte megegyezik a sérülékenységek kihasználásával (16%).

A támadók rendkívül gyorsak: átlagosan 3,4 óra alatt szerzik meg a hozzáférést az Active Directory rendszert. A medián „dwell time” (támadó tartózkodási ideje a rendszerben) három napra csökkent, ami azt jelzi, hogy a támadások gyorsabban zajlanak le — ugyanakkor a védekezés is gyorsul.

A zsarolóvírus-támadások 88%-a munkaidőn kívül történik, amikor a szervezetek védelme ugyanolyan erős csak a reakció képesség csökken. A hiányos naplózás továbbra is komoly probléma, ami jelentősen megnehezíti az incidensek felderítését és kivizsgálását.

Miért különösen releváns ez Magyarországon?

A hazai szervezetek jelentős része még mindig korlátozott erőforrásokkal működteti IT-biztonsági csapatait, miközben a hibrid munkavégzés és a felhőhasználat növeli a támadási felületet. A jelentés megállapításai szerint az esetek 59%-ában nem volt megfelelő MFA (többtényezős hitelesítés), ami jól mutatja: az alapvető identitásvédelmi intézkedések hiánya globálisan is komoly kockázat — és ez alól a magyar piac sem kivétel.

A NIS2 irányelv bevezetése miatt a naplózás, a folyamatos monitorozás és a gyors incidenskezelés képessége egyre inkább üzleti és megfelelési kérdéssé válik, nem csak IT-feladattá.

Több támadói csoport, kiszámíthatatlanabb környezet

A Sophos kutatói rekord számú aktív fenyegető csoportot azonosítottak. Az Akira és a Qilin voltak a legaktívabb zsarolóvírus-csoportok, miközben összesen 51 különböző ransomware-márka jelent meg az esetekben. Ez azt jelenti, hogy a fenyegetési környezet egyre fragmentáltabb, ami megnehezíti a védekezést és növeli a támadások valószínűségét.

Bár sok szó esik az AI-alapú támadásokról, a jelentés szerint egyelőre nincs bizonyíték arra, hogy az AI alapjaiban változtatta volna meg a támadási módszereket. A generatív AI főként az adathalászat skálázását és hitelességét növeli.

Mit tehetnek most a magyar szervezetek?

• A Sophos szakértői szerint a következő lépések jelentik a leghatékonyabb védelmet:
• Adathalászat-ellenálló többtényezős hitelesítés (MFA) bevezetése és rendszeres ellenőrzése
• Az identitásinfrastruktúra és internetre nyitott rendszerek kitettségének csökkentése
• Sérülékenységek gyors javítása, különösen peremeszközökön
• 24/7 monitorozás biztosítása MDR vagy hasonló szolgáltatással
• Biztonsági naplók hosszabb megőrzése a gyors incidenskezelés érdekében