Eerste kwartaal van 2025 markeert een keerpunt in cybersecurity
Het nieuwe rapport van WatchGuard Technologies heeft de sector opgeschrikt door een alarmerende toename van 171% in unieke malware-detecties in netwerken te onthullen ten opzichte van het voorgaande kwartaal. Maar dat is niet het enige verontrustende aspect: de groeiende verfijning van bedreigingen is even zorgwekkend. Maar liefst 71% van de aanvallen ontglipt aan traditionele detectiesystemen, gebruikmakend van technieken zoals obfuscatie, encryptie en AI-gestuurde generatie.
Een duidelijk signaal: aanvallers laten traditionele methodes achter zich
De conclusie is duidelijk: aanvallers omarmen nu tactieken die moeilijk te detecteren zijn voor conventionele beschermingssystemen. In het rapport wordt het digitale ecosysteem vergeleken met een natuurlijk ecosysteem dat wordt binnengevallen door agressieve soorten. Nieuwe ‘soorten malware’ verstoren het evenwicht in netwerken, endpoints en verbonden apparaten, terwijl IT- en cybersecurityprofessionals proberen dit evenwicht te behouden.
Corey Nachreiner, Chief Security Officer van WatchGuard, merkte op: “We zien de opkomst van een nieuwe generatie malware die niet langer afhankelijk is van handtekeningen om zich te verspreiden of aan te vallen. Het is slimmer, sneller en moeilijker te detecteren.”
De cijfers van verandering: meer verborgen, meer evasief en schadelijker malware
Onder de belangrijkste bevindingen van het rapport bevinden zich de volgende statistieken:
| Kernindicator | Variatie in Q1 2025 |
|---|---|
| Unieke malware-detecties in netwerken | +171% |
| Stijging van ‘zero-day’ malware | +323% (gedetecteerd door AI) |
| Malware die handtekeningen ontloopt (zero-day in netwerken) | 71% van het totaal |
| Malware in versleutelde verbindingen (TLS) | 71% van het totaal (+11 punten) |
| Toename van nieuwe malwarevarianten op endpoints | +712% |
| Daling van traditionele ransomware | -85% |
| Stijging van aanvallen die gebruik maken van verouderde software | Hoge persistentie (ProxyLogon, HAProxy) |
WatchGuard geeft aan dat als al hun actieve Firebox-systemen alle functies hadden gerapporteerd, er in de eerste drie maanden van het jaar meer dan 1.620 miljoen incidenten van malware zouden zijn gedetecteerd.
Endpoints onder belegering: minder volume, meer mutaties
Ondanks een daling van 22% in het totale malwarevolume op endpoints, werd er een explosie van 712% in unieke nieuwe varianten waargenomen, wat wijst op een duidelijke trend naar automatisering en mutatie van bedreigingen om controles te omzeilen.
Analisten van WatchGuard wijzen erop dat dit deels te wijten is aan de proliferatie van AI-tools op zwarte markten, waarmee snel en nauwkeurig adaptieve malware kan worden gemaakt.
Veranderingen in vectoren: browsers en piratentools komen terug
Traditioneel waren scripts (PowerShell, VBScript) de meest voorkomende toegangspunten voor malware op endpoints. In dit eerste kwartaal hebben echter browsers en piratentools terrein gewonnen. Drive-by downloads en kwaadaardige bestanden verstopt in twijfelachtige downloadsoftware zijn weer op de voorgrond getreden.
Dit geeft aan dat aanvallers oude vectoren opnieuw verkennen, maar met nieuwe technieken die hen in staat stellen langer verborgen te blijven.
Ransomware transformeert: minder encryptie, meer diefstal
Hoewel ransomware met 85% is gedaald ten opzichte van het vorige kwartaal, betekent dit niet dat er reden is tot feest. Volgens WatchGuard is er een strategiewijziging: het gaat niet langer om het versleutelen van bestanden, maar om het stelen ervan en dreigen met openbaarmaking. Verbeteringen in back-up- en herstelssystemen maken het klassieke gijzelingsmodel minder effectief.
Een duidelijk voorbeeld hiervan is Termite, een ransomware-payload die nu gericht is op gegevensextractie in plaats van encryptie.
Cybercriminelen geven prioriteit aan TLS en LoTL-technieken
TLS-encryptie blijft een voorkeurskanaal voor de levering van malware. In feite arriveerde 87% van de ‘zero-day’ malware via versleutelde verbindingen, wat de urgente noodzaak onderstreept van diepe inspectie van TLS-verkeer (SSL-inspectie) binnen organisaties.
Daarnaast zien we de opkomst van LoTL (Living off the Land)-technieken, waarbij legitieme systeemtools worden gebruikt om aanvallen uit te voeren, zoals Windows-binaries die als Trojaanse paarden fungeren om malware in het geheugen te injecteren zonder zichtbare bestanden.
Nieuwe bedreigingen: van Cashback naar Trojan.Agent.FZPI
Enkele van de meest opvallende bedreigingen in dit kwartaal zijn:
Application.Cashback.B.0835E4A4: malware die op 76% van de apparaten in Chili en 65% in Ierland is gedetecteerd. Hoge geografische verspreiding met een sterke regionale component.
Trojan.Agent.FZPI: een kwaadwillig HTML-document dat legitieme documenten simuleert, maar versleutelde verbindingen naar externe servers verbergt. Het combineert oude phishingtechnieken met veilige communicatie, waardoor de dodelijkheid toeneemt.
De reactie: zichtbaarheid, defensieve AI en bewustzijn
In het licht van deze bedreigingen dringt WatchGuard aan op drie defensieve lijnen:
Grotere zichtbaarheid van versleuteld verkeer, met tools die TLS-inspectie mogelijk maken zonder aan prestaties in te boeten.
AI in defensie, niet alleen voor detectie (zoals IntelligentAV), maar ook voor voorspelling en autonome respons.
Continue training en bewustwording van personeel over steeds geloofwaardiger wordende phishingcampagnes, waarvan veel door AI zijn gegenereerd.
Conclusie: Als 2024 het jaar was van polimorfische malware, dan is 2025 het jaar van evasiestrategieën en automatisering, gedreven door kunstmatige intelligentie. Zoals in de natuur, zal de boodschap voor cybersecurityteams zijn: aanpassen of verdwijnen.