Picus Security Finds 46% of Enterprise Passwords Vulnerable to Cracking — 2X Increase From 2024

SAN FRANCISCO, Aug. 11, 2025 (GLOBE NEWSWIRE) -- Picus Security, the leading security validation company, today released the Blue Report™ 2025, based on more than 160 million real-world attack simulations in live production environments. Now in its third year, the report provides a data-driven assessment of how well security controls perform against today’s threats — and this year’s findings are the most concerning to date.

While cyberattacks grow in both volume and sophistication, defensive effectiveness is declining. This year’s data paints a particularly grim picture: In 46% of environments, at least one password hash was successfully cracked, and data exfiltration attempts were only stopped 3% of the time, down from 9% in 2024. Combined, these trends show how quickly a single compromised credential can open the door to lateral movement and large-scale data theft. With infostealer malware tripling in prevalence and attackers increasingly bypassing defenses using valid logins, organizations face escalating risk from persistent and nearly invisible threats.

“We must operate under the assumption that adversaries already have access,” said Dr. Süleyman Ozarslan, co-founder of Picus Security and VP of Picus Labs. “An ‘assume breach’ mindset pushes organizations to detect the misuse of valid credentials faster, contain threats quickly, and limit lateral movement — which requires continuous validation of identity controls and stronger behavioral detection.”

Key Findings:

  • Passwords cracked in nearly half of environments: In 46% of tested environments, at least one password hash was cracked — up from 25% in 2024 — highlighting continued reliance on weak or outdated password policies.
  • Stolen credentials are practically unstoppable: Attacks using valid credentials were successful 98% of the time, making techniques like Valid Accounts (MITRE ATT&CK T1078) one of the most reliable ways to bypass defenses undetected.
  • Data exfiltration prevention is near zero: Only 3% of data theft attempts were blocked — down 3x from 2024 — even as ransomware operators and infostealers ramped up double-extortion attacks.
  • Ransomware remains a top concern. BlackByte continues to be the hardest strain to prevent, with a prevention effectiveness rate of just 26%. BabLock and Maori followed at 34% and 41%, respectively.
  • Early detection is a significant blind spot. Discovery techniques like System Network Configuration Discovery and Process Discovery scored below 12% in prevention effectiveness, exposing gaps in detection efforts.

The Blue Report 2025 also reveals that prevention effectiveness declined from 69% in 2024 to 62% in 2025, reversing last year’s gains. And while logging coverage held steady at 54%, only 14% of attacks generated alerts, meaning that most malicious activity still goes unnoticed. Failures in detection rule configuration, logging gaps, and system integration continue to undermine visibility across security operations. The decline highlights how quickly defenses can degrade without continuous oversight and validation of security controls.

Methodology
The Blue Report offers empirical evidence of how well security controls perform in real-world conditions. Findings are based on millions of simulated attacks executed by Picus Security customers from January to June 2025. The simulations were conducted safely in live production environments using Picus’ Security Validation Platform and analyzed by the Picus Labs and Picus Data Science teams. The report also includes ecosystem and industry-specific findings and recommendations that can help companies reduce exposure and improve threat readiness.

To read the full findings and recommendations, download the Blue Report 2025.

About Picus Security 
Picus Security, the leading security validation company, gives organizations a clear picture of their cyber risk based on business context. Picus transforms security practices by correlating, prioritizing and validating exposures across siloed findings so teams can focus on critical gaps and high-impact fixes. With Picus, security teams can quickly take action with one-click mitigations to stop more threats with less effort. Offering Adversarial Exposure Validation with Breach and Attack Simulation and Automated Penetration Testing, working together for greater outcomes, Picus delivers award-winning, threat-centric technology that allows teams to pinpoint fixes worth pursuing.

Follow Picus Security on X and LinkedIn.

Media Contact
Jennifer Tanner
Look Left Marketing
picus@lookleftmarketing.com

Images accompanying this announcement are available at

https://www.globenewswire.com/NewsRoom/AttachmentNg/3399fa33-7e80-494c-8d70-150c14da6698
https://www.globenewswire.com/NewsRoom/AttachmentNg/387b8fcd-aac8-4593-be9d-79985703484a
https://www.globenewswire.com/NewsRoom/AttachmentNg/a94c5fa9-32ce-499c-b863-3a0e8497a6ea


Picus Security Finds 46% of Enterprise Passwords Vulnerable to Cracking — 2X Increase From 2024


THỦ THUẬT HAY

Làm ảnh đen trắng nghệ thuật với PhotoScape

Bạn rất muốn sở hữu những bức ảnh đen trắng nghệ thuật nhưng còn đang loay hoay tìm hiểu cách làm. Mời bạn tham khảo bài viết dưới đây của chúng tôi để tự tay tạo cho mình những bức ảnh đen trắng tuyệt đẹp chỉ qua vài

Control Center iOS 11 không thực sự vô hiệu hóa Wifi hoặc Bluetooth?Đây là những gì bạn cần làm

Control Center trên iOS 11 không thực sự cho phép bạn vô hiệu hóa Wifi và Bluetooth nữa. Bạn có thể tắt Wifi và Bluetooth từ Control Center nhưng hardware radio (tín hiệu phần cứng) sẽ vẫn chạy và chúng sẽ quay trở lại

Cách ẩn thông tin cá nhân trên mã QR PC Covid chỉ trong một nốt nhạc

Bạn có thể ẩn thông tin trên mã QR PC Covid để tránh bị lộ thông tin cá nhân của mình. Sau đây là hướng dẫn cách ẩn thông tin cá nhân trên mã QR PC Covid...

5 phần mềm gỡ bỏ ứng dụng hay dành cho máy tính

Trình gỡ cài đặt phần mềm chuyên dụng giúp bạn gỡ ứng dụng cài đặt dễ dàng hơn nhiều, gỡ cài đặt nhiều chương trình cùng một lúc và xóa mọi tệp còn lại, giúp giữ máy tính của bạn hoạt động mượt mà hơn. Hơn nữa, trình

Power Shade Pro - Hỗ trợ tùy biến thanh thông báo giống Android Pie

Khi bạn mở ứng dụng lần đầu tiên, bạn sẽ thấy một thanh trượt màu đen có dòng chữ Not running và 4 icon với nhiều chức năng. Đầu tiên bạn hãy trượt sang phải để bật Power Shade, rồi cung cấp các quyền cần thiết để chạy

ĐÁNH GIÁ NHANH

Đánh giá chi tiết pin Oppo F1 - gần 13 tiếng sử dụng hỗn hợp

Oppo đã vừa trình làng chiếc Oppo F1 ' selfie' (đánh giá camera F1). Nếu như các bạn đã sử dụng chiếc Oppo R7 lite trước đây thì, thiết kế của Oppo F1 này sẽ đem lại cảm giác quen...

Đánh giá hiệu năng Meizu M5: Game nặng vẫn cân được

Mang trong mình vi xử lý mới nhất trong phân khúc giá rẻ của MediaTek. Vậy hiệu năng của Meizu M5 có xứng đáng với kì vọng? Hãy cùng FPTShop thử nghiệm

Trên tay và đánh giá nhanh Mobell F7: Thật bất ngờ

Một thiết bị tốt không có nghĩa là một thiết bị đắt tiền. Với sản phẩm F7, Mobell đã chứng minh được điều này là hoàn toàn chính xác.