Het aantal malwareaanvallen dat gebruikmaakt van versleuteld verkeer is in het tweede kwartaal van 2025 opnieuw toegenomen. Volgens het Internet Security Report van WatchGuard Technologies verliep maar liefst 70 procent van alle malwarecampagnes via TLS (Transport Layer Security), een toename die duidt op een verschuiving in tactiek onder cybercriminelen.
TLS, de versleutelingstechnologie die normaal gesproken bedoeld is om webverkeer te beveiligen, wordt nu op grote schaal ingezet als dekmantel voor kwaadaardige activiteiten. WatchGuard signaleerde een stijging van 40 procent in het aantal zogeheten evasieve malwarevarianten – bedreigingen die traditionele detectiemechanismen proberen te omzeilen.
Het totaal aantal malwaredetecties lag 15 procent hoger dan in het voorgaande kwartaal. De grootste toename was zichtbaar bij Gateway AntiVirus (+85%) en IntelligentAV (+10%), twee detectielagen die ook verkeer inspecteren dat anders onder de radar zou blijven.
Polymorfe en zero-day malware op de voorgrond
Het rapport wijst op een toename van polymorfe malware, waarbij kwaadaardige code continu van vorm verandert. Dit maakt signature-based detectie minder effectief. In totaal werd 26 procent meer unieke malwarevarianten geregistreerd dan in Q1.
Daarnaast is het aandeel zero-day-malware verder gegroeid. In totaal werd 76 procent van de malware als zero-day geclassificeerd, en bij varianten die via TLS worden verspreid zelfs bijna 90 procent. Daarmee wordt duidelijk dat cyberaanvallers zich steeds vaker richten op nieuwe of ongepatchte kwetsbaarheden.
Minder ransomware, maar gerichtere aanvallen
Opvallend is dat het aantal ransomwarecampagnes met 47 procent is afgenomen. Tegelijkertijd zijn de aanvallen die nog wel plaatsvinden gerichter en geavanceerder. Aanvallers focussen zich op organisaties met een grote potentiële schadepost. Groeperingen als Akira en Qilin zijn hierbij het meest actief.
Droppers en USB-malware nemen toe
Bij de top tien van netwerkgebaseerde malware zijn zogeheten droppers – kleine programma’s die andere malware installeren – sterk vertegenwoordigd. Trojan.VBA.Agent.BIZ en PonyStealer zijn voorbeelden van droppers die via geïnfecteerde documenten worden verspreid. Daarnaast signaleerde WatchGuard twee nieuwe vormen van USB-malware, PUMPBENCH en HIGHREPS, die cryptominers installeren met behulp van de open source tool XMRig.
Netwerk- en DNS-aanvallen blijven actief
Het aantal netwerkgebaseerde aanvallen steeg licht met 8,3 procent. Wel werd een daling van het aantal unieke aanvalspatronen gemeten: van 412 naar 380. Een opvallende toevoeging was de inzet van JavaScript Obfuscation via Exploit Kits, een techniek waarmee aanvallers zich via browsers toegang proberen te verschaffen tot systemen.
Ook DNS-verkeer blijft een risicofactor. Domeinen die gelinkt zijn aan de DarkGate RAT-loader bleven in Q2 actief, wat volgens WatchGuard het belang onderstreept van DNS-inspectie als eerste verdedigingslinie.
Zichtbaarheid essentieel voor verdediging
De bevindingen in het rapport maken duidelijk dat aanvallers zich steeds beter weten te verschuilen in normaal ogend netwerkverkeer. Voor IT-teams en dienstverleners is het daarom belangrijk om te investeren in tools die inzicht geven in TLS-verkeer, zero-daydetectie ondersteunen en verschillende beveiligingslagen met elkaar integreren. Dat geldt zeker voor kleinere teams die met beperkte middelen toch adequaat moeten reageren op steeds slimmere dreigingen.
