Generativní AI sice zvýšila rychlost a propracovanost phishingu a sociálního inženýrství, ale zatím nevytvořila zásadně nové útočné techniky.
Sophos zveřejnil studii Sophos Active Adversary Report 2026. Ta odhaluje, že 67 % všech bezpečnostních incidentů vyšetřovaných v loňském roce expertními týmy Sophos Incident Response (IR) a Managed Detection and Response (MDR) mělo původ v útocích zaměřených na identitu. Zjištění poukazují na to, že útočníci dále zneužívají kompromitované přihlašovací údaje, slabé nebo chybějící vícefaktorové ověřování (MFA) a nedostatečně chráněné systémy správy identit – často bez nutnosti nasadit nové nástroje nebo techniky.
Klíčová zjištění zahrnují:
• Posun od zneužívání zranitelností ke kompromitovaným přihlašovacím údajům. Jako metoda počátečního přístupu se útoky hrubou silou (15,6 %) téměř vyrovnaly zneužívání zranitelností (16 %).
• Medián doby přítomnosti útočníka v síti klesl na tři dny. Jde o výsledek aktivit útočníků, ale také rychlejší reakce obránců. Zvláště patrné to bylo v prostředích využívajících řízenou detekci a reakci (Managed Detection and Response, MDR).
• Útočníci stále rychleji dosahují k Active Directory (AD). Jakmile útočník pronikne do organizace, trvá mu pouhé 3,4 hodiny, než se dostane k serveru AD.
• Ransomware je nasazován zpravidla mimo pracovní dobu. Potvrzuje to 88% podíl ransomwarových útoků, které proběhly právě mimo pracovní dobu. Podobně mimo pracovní dobu proběhlo i 79 % případů exfiltrace dat.
• Obranné úsilí oslabuje nedostatek telemetrie. Meziročně se vlivem problémů s uchováváním dat zdvojnásobilo množství případů s chybějícími logy. Tento nárůst byl z velké části způsoben firewally, kde byly ve výchozím nastavení logy uchovávány jen sedm dnů a v některých případech pouhých 24 hodin.
Útoky na identitu se zrychlují, mezery v MFA přetrvávají
Studie ukazuje i trvalý nárůst útoků vycházejících z kompromitace identit, včetně odcizených přihlašovacích údajů, útoků hrubou silou a phishingu. Přestože zneužití zranitelností zůstává rizikem, útočníci se při počátečním přístupu stále více spoléhají na legitimní účty, což jim umožňuje obejít tradiční opatření na obranu perimetru. V 59 % případů také chybělo MFA, což usnadnilo zneužití odcizených a kompromitovaných přihlašovacích údajů k průniku do organizace.
„Nejvíce znepokojivé zjištění studie se formovalo vlastně celé roky. Jde o dominanci příčin počátečního přístupu souvisejících s identitou. Kompromitované přihlašovací údaje, útoky hrubou silou, phishing a další taktiky využívají slabiny, které nelze řešit pouhým záplatováním. Organizace musí zaujmout proaktivní přístup k zabezpečení identit,“ řekl John Shier, Field CISO společnosti Sophos a hlavní autor zprávy.
Více skupin hrozeb, širší riziko
Výzkumníci společnosti Sophos zaznamenali nejvyšší počet aktivních skupin hrozeb v historii studie. Zásadně se tím prostředí hrozeb rozšířilo a zkomplikovala se možnost identifikace útočníků.
• Nejaktivnějšími ransomwarovými skupinami byly Akira (GOLD SAHARA) a Qilin (GOLD FEATHER). Akira dominovala ve 22 % incidentů.
• Ve zkoumaných případech se objevilo celkem 51 ransomwarových skupin, z toho 27 vracejících se a 24 nových.
• Pouze čtyři skupiny nebo techniky – LockBit, MedusaLocker, Phobos a zneužití nástroje BitLocker – jsou nepřetržitě aktivní od roku 2020, kdy byla realizována první studie Active Adversary Report.
„Zásahy orgánů činných v trestním řízení i nadále narušují ekosystém ransomwaru. I když stále vidíme aktivitu skupiny LockBit, její dřívější dominance a reputace byly zjevně oslabeny. To však znamená, že o dominantní postavení usiluje množství dalších skupin, a nové stále vznikají. Pro obránce je důležité porozumět těmto skupinám a jejich taktice, technologiím a postupům, aby mohli co nejlépe chránit svou organizaci,“ pokračoval Shier.
AI chování útočníků nemění
Navzdory rozšířeným předpovědím nenalezli experti Sophosu žádné důkazy o významné transformaci útočného chování s využitím umělé inteligence. Generativní AI sice zvýšila rychlost a propracovanost phishingu a sociálního inženýrství, ale zatím nevytvořila zásadně nové útočné techniky.
„AI přidává rozsah a šum, ale útočníky zatím nenahrazuje. I když by v budoucnu mohla být generativní AI dalším akcelerátorem, v současnosti stále záleží na základních opatřeních, mezi které patří silná ochrana identit, spolehlivá telemetrie a schopnost rychle reagovat, když se něco pokazí,“ řekl Shier.
Podrobnosti: Sophos Active Adversary Report 2026
