Versleutelde verbindingen steeds vaker ingezet voor verbergen van malware
Cybercriminelen maken steeds vaker gebruik van versleutelde verbindingen om malware te verspreiden en detectie te ontlopen. Het aantal geavanceerde, ontwijkende malwareaanvallen is in het tweede kwartaal van 2025 met 40% is toegenomen. Met name Transport Layer Security (TLS), bedoeld om webverkeer te beveiligen, wordt nu ingezet om schadelijke software te verbergen.
Dit blijkt uit het Internet Security Report van WatchGuard Technologies over het tweede kwartaal van 2025. Het totale aantal malwaredetecties steeg met 15% ten opzichte van het eerste kwartaal. De grootste groei werd waargenomen bij Gateway AntiVirus (+85%) en IntelligentAV (+10%). Volgens het rapport verloopt 70% van alle malwareaanvallen via versleuteld verkeer, een recordhoogte die benadrukt hoe cruciaal inzicht in TLS-verkeer is voor effectieve beveiliging.
Belangrijkste trends in cyberdreigingen
Het WatchGuard Threat Lab signaleerde verschillende opvallende ontwikkelingen in malware-, netwerk- en endpointdreigingen in het tweede kwartaal van 2025.
Aanvallers passen steeds vaker encryptie toe om detectie te omzeilen. Het aantal unieke malwarevarianten nam met 26% toe, mede door het gebruik van polymorfe en versleutelde packers die traditionele, handtekeninggebaseerde detectiemethoden ontwijken.
Zero-day-malware overheerst
76% van alle gedetecteerde malware valt onder de categorie zero-day – bij aanvallen via TLS loopt dit percentage op tot bijna 90%. Dit wijst op de afnemende effectiviteit van klassieke beveiligingsmethoden.
Hoewel het aantal ransomwarecampagnes met 47% daalde, zijn de overgebleven aanvallen doelgerichter en richten ze zich op organisaties met een hoge impact. Extortiegroepen zoals Akira en Qilin behoorden tot de meest actieve in dit kwartaal.
Droppers domineren netwerkmalware
Zeven van de tien meest gedetecteerde payloads waren droppers, waaronder Trojan.VBA.Agent.BIZ en PonyStealer, die via macro’s in documenten worden geactiveerd. Ook de Mirai-botnetfamilie maakte een comeback, met name in de Aziatë-Pacifische regio.
Het Threat Lab identificeerde twee nieuwe USB-verspreide varianten, PUMPBENCH en HIGHREPS, die cryptominers installeren. Beide maken gebruik van XMRig om de cryptovaluta Monero te delven.
Lichte stijging netwerkaanvallen
Het aantal aanvallen op netwerklaag steeg met 8,3%, maar de diversiteit nam af: 380 unieke handtekeningen werden gedetecteerd, tegenover 412 in het vorige kwartaal. Een nieuwe dreiging was WEB-CLIENT JavaScript Obfuscation in Exploit Kits, wat laat zien hoe snel nieuwe exploitatietechnieken ontstaan.
Domeinen gekoppeld aan de DarkGate RAT-loader bleven operationeel, wat het belang van DNS-filtering als eerste verdedigingslaag onderstreept.
Aanvallers verbergen zich in het zicht
“We zien in Q2 een sterke toename van evasieve malware over versleutelde kanalen”, aldus Corey Nachreiner, Chief Security Officer bij WatchGuard. “Aanvallers zetten steeds vaker stealth-tactieken in om detectie te omzeilen. Voor MSP’s en IT-teams met beperkte middelen zijn snelheid, zichtbaarheid en geïntegreerde bescherming essentieel om deze dreigingen effectief te bestrijden.”
Het volledige Internet Security Report Q2 2025 is hier beschikbaar.
Meer over Watchguard
Over Wouter Hoeffnagel
