Watch­Guard Techno­lo­gies signa­leert een explo­sieve stijging van nieuwe, unieke malware. In het vierde kwartaal van 2025 lag het aantal nieuwe varianten 1548% hoger dan in het kwartaal ervoor. Daarnaast wist 23 procent van alle gedetec­teerde malware tradi­ti­o­nele, op handte­ke­ningen gebaseerde bevei­li­ging te omzeilen. Dat blijkt uit het meest recente Internet Security Report van WatchGuard.

Het rapport is gebaseerd op geano­ni­mi­seerde en geaggre­geerde dreigings­data uit netwerk‑, endpoint- en DNS-bevei­li­gings­op­los­singen van Watch­Guard. De cijfers laten zien dat aanval­lers hun methoden versnellen en verfijnen. Daardoor lopen organi­sa­ties die vooral vertrouwen op reactieve bevei­li­ging steeds meer risico.

Een aantal opval­lende conclu­sies uit het rapport:

1. Nieuwe malware en zero-days nemen sterk toe – Gedurende 2025 steeg het aantal nieuwe malwa­re­va­ri­anten elk kwartaal. Vooral tussen het derde en vierde kwartaal was de toename uitzon­der­lijk sterk. Tegelij­ker­tijd kwali­fi­ceert bijna een kwart van alle gedetec­teerde malware als zero-day, omdat tradi­ti­o­nele detectie deze dreigingen niet herkent. Daarnaast blijkt dat aanval­lers hun schade­lijke code steeds vaker verpakken en verslui­eren om detectie te ontwijken. Op endpoints trof Watch­Guard meer dan vijftien keer zoveel nooit eerder geziene malware aan als in eerdere perioden.

2. Versleu­teld verkeer belem­mert zicht­baar­heid - Verder toont het rapport aan dat 96% van de geblok­keerde malware via TLS werd aange­le­verd. Aanval­lers misbruiken versleu­telde verbin­dingen om hun activi­teiten te verbergen in regulier webver­keer. Organi­sa­ties die geen HTTPS-inspectie toepassen, missen daardoor cruciale signalen. Hoewel het aantal netwerk­ex­ploits in de tweede helft van 2025 afnam, richt het meren­deel van de aanvallen zich nog steeds op bekende kwets­baar­heden in moderne webap­pli­ca­ties. Gelaagde netwerk­be­vei­li­ging, waaronder intrusion preven­tion, blijft daarom noodzakelijk.

3. Aanval­lers verdienen gerichter geld – Ook in hun verdien­mo­dellen passen cyber­cri­mi­nelen hun aanpak aan. In de tweede helft van 2025 zag Watch­Guard phishing­cam­pagnes die kwaad­aar­dige PowerS­hell-scripts gebruikten om Malware-as-a-Service-tools klaar te zetten, waaronder remote access trojans. Aanval­lers ontwijken daarbij bewust geauto­ma­ti­seerde bestandsanalyse.

Hoewel het totale aantal ransom­ware-incidenten op jaarbasis met 68,42 procent daalde, bereikten openbaar gemaakte afper­sings­be­ta­lingen een record­ni­veau. Dit wijst op een verschui­ving naar minder, maar finan­cieel zwaar­dere aanvallen. Daarnaast blijft crypto­mi­ning een populaire manier om inkom­sten te genereren zodra aanval­lers toegang hebben verkregen.

Gevolgen voor MSP’s

Volgens Corey Nachreiner, Chief Security Officer bij Watch­Guard Techno­lo­gies, vraagt deze ontwik­ke­ling om een andere benade­ring. “Het huidige dreigings­land­schap is te complex geworden voor losse bevei­li­gings­op­los­singen en pas reageren als het misgaat. Voor MSP’s is het risico groot. Een bevei­li­gings­in­ci­dent bij een klant zorgt voor hogere kosten, schaadt het vertrouwen en verzwakt hun concur­ren­tie­po­sitie. De MSP’s die in 2026 en daarna succesvol zijn, laten zien dat zij dreigingen actief opsporen en hun klanten beschermen met één samen­han­gende bevei­li­gings­aanpak over de hele IT-omgeving.”

Watch­Guard adviseert dat managed service provi­ders kiezen voor één bevei­li­gings­plat­form dat netwerk­ver­keer contro­leert, endpoints bewaakt en identi­teiten beschermt. Zij moeten versleu­teld verkeer inspec­teren, afwij­kend gedrag direct signa­leren en dreigingen automa­tisch blokkeren. Alleen zo verkleinen zij de kans op incidenten, beperken zij schade bij klanten en houden zij grip op hun eigen supportkosten.

Volledig rapport beschikbaar

Het volle­dige Internet Security Report over de tweede helft van 2025 is beschik­baar via de website van WatchGuard.