Het rapport is gebaseerd op geanonimiseerde en geaggregeerde dreigingsdata uit netwerk-, endpoint- en DNS-beveiligingsoplossingen van WatchGuard. De cijfers laten zien dat aanvallers hun methoden versnellen en verfijnen. Daardoor lopen organisaties die vooral vertrouwen op reactieve beveiliging steeds meer risico.
Een aantal opvallende conclusies uit het rapport:
1. Nieuwe malware en zero-days nemen sterk toe
Gedurende 2025 steeg het aantal nieuwe malwarevarianten elk kwartaal. Vooral tussen het derde en vierde kwartaal was de toename uitzonderlijk sterk. Tegelijkertijd kwalificeert bijna een kwart van alle gedetecteerde malware als zero-day, omdat traditionele detectie deze dreigingen niet herkent.
Daarnaast blijkt dat aanvallers hun schadelijke code steeds vaker verpakken en versluieren om detectie te ontwijken. Op endpoints trof WatchGuard meer dan vijftien keer zoveel nooit eerder geziene malware aan als in eerdere perioden.
2. Versleuteld verkeer belemmert zichtbaarheid
Verder toont het rapport aan dat 96% van de geblokkeerde malware via TLS werd aangeleverd. Aanvallers misbruiken versleutelde verbindingen om hun activiteiten te verbergen in regulier webverkeer. Organisaties die geen HTTPS-inspectie toepassen, missen daardoor cruciale signalen.
Hoewel het aantal netwerkexploits in de tweede helft van 2025 afnam, richt het merendeel van de aanvallen zich nog steeds op bekende kwetsbaarheden in moderne webapplicaties. Gelaagde netwerkbeveiliging, waaronder intrusion prevention, blijft daarom noodzakelijk.
3. Aanvallers verdienen gerichter geld
Ook in hun verdienmodellen passen cybercriminelen hun aanpak aan. In de tweede helft van 2025 zag WatchGuard phishingcampagnes die kwaadaardige PowerShell-scripts gebruikten om Malware-as-a-Service-tools klaar te zetten, waaronder remote access trojans. Aanvallers ontwijken daarbij bewust geautomatiseerde bestandsanalyse.
Hoewel het totale aantal ransomware-incidenten op jaarbasis met 68,42 procent daalde, bereikten openbaar gemaakte afpersingsbetalingen een recordniveau. Dit wijst op een verschuiving naar minder, maar financieel zwaardere aanvallen. Daarnaast blijft cryptomining een populaire manier om inkomsten te genereren zodra aanvallers toegang hebben verkregen.
Lees ook: Odido gehackt: 6,2M accounts – dit is het echte risico
Gevolgen voor MSP's
Volgens Corey Nachreiner, Chief Security Officer bij WatchGuard Technologies, vraagt deze ontwikkeling om een andere benadering. "Het huidige dreigingslandschap is te complex geworden voor losse beveiligingsoplossingen en pas reageren als het misgaat. Voor MSP's is het risico groot. Een beveiligingsincident bij een klant zorgt voor hogere kosten, schaadt het vertrouwen en verzwakt hun concurrentiepositie. De MSP's die in 2026 en daarna succesvol zijn, laten zien dat zij dreigingen actief opsporen en hun klanten beschermen met één samenhangende beveiligingsaanpak over de hele IT-omgeving."
WatchGuard adviseert dat managed service providers kiezen voor één beveiligingsplatform dat netwerkverkeer controleert, endpoints bewaakt en identiteiten beschermt. Zij moeten versleuteld verkeer inspecteren, afwijkend gedrag direct signaleren en dreigingen automatisch blokkeren. Alleen zo verkleinen zij de kans op incidenten, beperken zij schade bij klanten en houden zij grip op hun eigen supportkosten.
Volledig rapport beschikbaar
Het volledige Internet Security Report over de tweede helft van 2025 is beschikbaar via de website van WatchGuard.
Lees ook: Orange Cyberdefense: Snelle melding cruciaal in internationale aanpak cybercrime
