WatchGuard meldt een stijging van 40 procent in evasieve malware via versleuteld TLS-verkeer. Tegelijk verschuift het dreigingslandschap naar meer zero-day-aanvallen, gerichte ransomware en terugkerende USB-malware.
Het aantal malwareaanvallen via versleuteld verkeer is in het tweede kwartaal van 2025 met 40 procent gestegen, dat blijkt uit het Internet Security Report voor Q2 2025 van WatchGuard Technologies. Steeds meer cybercriminelen maken gebruik van Transport Layer Security (TLS) om detectie te ontwijken.
Versleuteling als camouflage
Volgens WatchGuard wordt 70 procent van alle malwareaanvallen inmiddels uitgevoerd via versleutelde TLS-verbindingen. Deze technologie is oorspronkelijk bedoeld om webverkeer te beveiligen, maar wordt nu op grote schaal misbruikt om schadelijke code te verbergen. Vooral geavanceerde en zogenaamde zero-day-malware maakt hiervan gebruik. Bij malware die TLS inzet, gaat het in 90 procent van de gevallen om onbekende, niet eerder gedetecteerde varianten.
Het aantal unieke malwaretypes steeg in Q2 met 26 procent. Cybercriminelen gebruiken onder meer polymorfe technieken en versleutelde packers om klassieke antivirusoplossingen te omzeilen. De detectietools Gateway AntiVirus en IntelligentAV registreerden respectievelijk 85 en 10 procent meer meldingen ten opzichte van het vorige kwartaal.
Terugkeer van USB-malware
Hoewel het aantal ransomwarecampagnes daalde met 47 procent, blijft de impact aanzienlijk. De aanvallen richten zich vaker op specifieke doelwitten met hoge waarde. Groepen als Akira en Qilin zijn volgens WatchGuard nog steeds actief. Daarnaast werden zeven van de tien meest gedetecteerde netwerkbedreigingen gekenmerkt als droppers: malware die dient als tussenstap voor verdere infecties. Deze verspreiden zich via documenten met macro’s of bekende botnetfamilies zoals Mirai.
Ook USB-malware kende een heropleving. Twee nieuw ontdekte varianten installeren cryptominers op besmette systemen. Netwerkaanvallen stegen licht met 8,3 procent, al nam de variatie in gebruikte technieken af. DNS-dreigingen blijven eveneens actueel, onder meer via domeinen gelinkt aan de DarkGate RAT-loader.