Watch­Guard Techno­lo­gies ziet een alarme­rende stijging van 171% in unieke malwa­re­va­ri­anten, het hoogste niveau dat ooit door het Threat Lab is geregi­streerd. Dat is een van de belang­rijkste conclu­sies in het nieuwste Internet Security Report (Q1 2025). Tegelij­ker­tijd daalde het aantal ransom­ware-aanvallen sterk. De onder­zoe­kers signa­leren dat cyber­cri­mi­nelen overstappen op stealth-tactieken zoals datadief­stal, mogelijk gemaakt door AI en geavan­ceerde scriptingtechnieken.

Het rapport biedt een gedetail­leerd overzicht van de belang­rijkste trends in malware‑, netwerk- en endpoint­be­vei­li­ging. Enkele opval­lende bevindingen:

• Unieke malware piekt, signa­ture-detectie onder druk – Het aantal unieke malwa­re­va­ri­anten steeg met 171% verge­leken met Q4 2024. Tegelij­ker­tijd nam het aandeel zero-day-malware flink toe. Intel­li­gentAV (IAV), de machine learning-engine van Watch­Guard, zag een stijging van 323% in detec­ties. Deze combi­natie wijst op een toene­mend gebruik van polymorfe malware die signa­ture-based detectie omzeilt.

• Endpoint­drei­gingen +712%, LSASS blijft belang­rijkste doelwit – Na drie kwartalen van daling is het aantal nieuwe endpoint­drei­gingen met 712% gestegen. De meest voorko­mende dreiging was een LSASS-dumper, gericht op het stelen van inlog­ge­ge­vens via directe kernel-toegang. Dit illustreert de opmars van LoTL-aanvallen met minimale detecteerbaarheid.

• Malware via e‑mail en TLS groeit verder – Gateway AntiVirus-detec­ties namen toe met 30%. Versprei­ding via Trans­port Layer Security (TLS) steeg met 11 procent­punten. Trojan.Agent.FZPI, een nieuwe HTML-aanval verpakt in versleu­telde commu­ni­catie, was de meest gedetec­teerde malware over TLS.

• Application.Cashback wereld­wijd dominant – De meest verspreide malware in Q1 2025 was Application.Cashback.B.0835E4A4, met een impact van 76% in Chili en 65% in Ierland. Deze familie behoort nu tot de meest wijdver­spreide ooit en benadrukt het belang van regio­spe­ci­fieke verdediging.

• Scripts dalen, Windows LoTL-methodes +18% – Script-gebaseerde aanvallen op endpoints daalden met 50%, tot het laagste niveau ooit gemeten. Tegelij­ker­tijd groeide het gebruik van Windows-native LoTL-technieken met 18%. Dat wijst op een verschui­ving naar moeilijker detec­teer­bare aanvalsmethoden.

• Ransom­ware daalt 85%, maar Termite blijft actief – Ondanks de sterke daling blijft ransom­ware gevaar­lijk. De Termite-payload was het op één na meest gedetec­teerde malwa­re­type. De afname is te danken aan betere back-up- en herstel­stra­te­gieën, waardoor crimi­nelen vaker inzetten op datadief­stal in plaats van encryptie.

• Geavan­ceerde packers bemoei­lijken detectie – Het rapport toont dat cyber­cri­mi­nelen vaker gebruik­maken van packers: tools die malware verhullen en ontwar­ring door analisten of bevei­li­gings­tech­no­logie bemoei­lijken. Dit maakt reverse-enginee­ring moeilijker en verlengt de levens­duur van aanvallen.

• Meervou­dige aanval­slagen: unified aanpak vereist – De aanvals­pa­tronen in Q1 2025 wijzen op gecom­bi­neerde dreigingen via netwerk, endpoint en e‑mail. Watch­Guard benadrukt dat alleen een geïnte­greerde, AI-gedreven securi­ty­aanpak effec­tief is tegen deze aanvalsketens.

Verdedigen in het AI-tijdperk

“De dreigingen die we in Q1 2025 zien, beves­tigen dat de AI-wedloop is begonnen”, zegt Corey Nachreiner, Chief Security Officer bij Watch­Guard Techno­lo­gies. “Aanval­lers gebruiken AI niet alleen om phishing en social enginee­ring te automa­ti­seren, maar ook voor slimmere, snellere en schaal­baar­dere malwa­re­cam­pagnes. Alleen met adaptieve, machine learning-gedreven bevei­li­ging kunnen organi­sa­ties zich wapenen tegen deze geavan­ceerde aanvallen.”

Het volle­dige Q1 2025 Internet Security Report is beschik­baar via de Watch­Guard-website.