WatchGuard: 171% meer unieke malware in Q1 2025

AI zorgt voor explosieve groei in geavanceerde dreigingen
WatchGuard Technologies ziet een alarmerende stijging van 171% in unieke malwarevarianten, het hoogste niveau dat ooit door het Threat Lab is geregistreerd. Dat is een van de belangrijkste conclusies in het nieuwste Internet Security Report (Q1 2025). Tegelijkertijd daalde het aantal ransomware-aanvallen sterk. De onderzoekers signaleren dat cybercriminelen overstappen op stealth-tactieken zoals datadiefstal, mogelijk gemaakt door AI en geavanceerde scriptingtechnieken.

Het rapport biedt een gedetailleerd overzicht van de belangrijkste trends in malware-, netwerk- en endpointbeveiliging. Enkele opvallende bevindingen:

Unieke malware piekt, signature-detectie onder druk
Het aantal unieke malwarevarianten steeg met 171% vergeleken met Q4 2024. Tegelijkertijd nam het aandeel zero-day-malware flink toe. IntelligentAV (IAV), de machine learning-engine van WatchGuard, zag een stijging van 323% in detecties. Deze combinatie wijst op een toenemend gebruik van polymorfe malware die signature-based detectie omzeilt.
Endpointdreigingen +712%, LSASS blijft belangrijkste doelwit
Na drie kwartalen van daling is het aantal nieuwe endpointdreigingen met 712% gestegen. De meest voorkomende dreiging was een LSASS-dumper, gericht op het stelen van inloggegevens via directe kernel-toegang. Dit illustreert de opmars van LoTL-aanvallen met minimale detecteerbaarheid.
Malware via e-mail en TLS groeit verder
Gateway AntiVirus-detecties namen toe met 30%. Verspreiding via Transport Layer Security (TLS) steeg met 11 procentpunten. Trojan.Agent.FZPI, een nieuwe HTML-aanval verpakt in versleutelde communicatie, was de meest gedetecteerde malware over TLS.
Application.Cashback wereldwijd dominant
De meest verspreide malware in Q1 2025 was Application.Cashback.B.0835E4A4, met een impact van 76% in Chili en 65% in Ierland. Deze familie behoort nu tot de meest wijdverspreide ooit en benadrukt het belang van regiospecifieke verdediging.
Scripts dalen, Windows LoTL-methodes +18%
Script-gebaseerde aanvallen op endpoints daalden met 50%, tot het laagste niveau ooit gemeten. Tegelijkertijd groeide het gebruik van Windows-native LoTL-technieken met 18%. Dat wijst op een verschuiving naar moeilijker detecteerbare aanvalsmethoden.
Ransomware daalt 85%, maar Termite blijft actief
Ondanks de sterke daling blijft ransomware gevaarlijk. De Termite-payload was het op één na meest gedetecteerde malwaretype. De afname is te danken aan betere back-up- en herstelstrategieën, waardoor criminelen vaker inzetten op datadiefstal in plaats van encryptie.
Geavanceerde packers bemoeilijken detectie
Het rapport toont dat cybercriminelen vaker gebruikmaken van packers: tools die malware verhullen en ontwarring door analisten of beveiligingstechnologie bemoeilijken. Dit maakt reverse-engineering moeilijker en verlengt de levensduur van aanvallen.
Meervoudige aanvalslagen: unified aanpak vereist
De aanvalspatronen in Q1 2025 wijzen op gecombineerde dreigingen via netwerk, endpoint en e-mail. WatchGuard benadrukt dat alleen een geïntegreerde, AI-gedreven securityaanpak effectief is tegen deze aanvalsketens.

Verdedigen in het AI-tijdperk
“De dreigingen die we in Q1 2025 zien, bevestigen dat de AI-wedloop is begonnen”, zegt Corey Nachreiner, Chief Security Officer bij WatchGuard Technologies. “Aanvallers gebruiken AI niet alleen om phishing en social engineering te automatiseren, maar ook voor slimmere, snellere en schaalbaardere malwarecampagnes. Alleen met adaptieve, machine learning-gedreven beveiliging kunnen organisaties zich wapenen tegen deze geavanceerde aanvallen.”

Download het volledige rapport
Het volledige Q1 2025 Internet Security Report is beschikbaar via de WatchGuard-website.