Malware über verschlüsselte Verbindungen nimmt um 40 Prozent zu
Cyberkriminelle nutzen verstärkt TLS-Protokolle zur Tarnung ihrer Angriffe. WatchGuard meldet einen massiven Anstieg schwer erkennbarer Schadsoftware – während Ransomware-Attacken zurückgehen.
Angreifer setzen zunehmend auf Verschleierungstaktiken, um ihre Schadsoftware zu verbreiten. Laut dem aktuellen Internet Security Report von WatchGuard Technologies stieg die Zahl schwer erkennbarer, hochentwickelter Malware im zweiten Quartal 2025 um 40 Prozent gegenüber dem Vorquartal. Besonders alarmierend: 70 Prozent der gesamten Malware wird mittlerweile über verschlüsselte Verbindungen übertragen.
Die Forscher des WatchGuard Threat Labs analysierten für ihren vierteljährlichen Report Daten von aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz. Die Auswertung zeigt, dass Angreifer vermehrt das TLS-Protokoll (Transport Layer Security) missbrauchen, um bösartige Payloads zu tarnen – ausgerechnet jenes Protokoll, das eigentlich für sicheren Webdatenverkehr sorgen soll.
Gesamtzahl der Malware-Erkennungen steigt deutlich
Die Malware-Erkennungen nahmen insgesamt um 15 Prozent zu, so das Unternehmen. Dabei verzeichnete Gateway AntiVirus (GAV) einen Anstieg um 85 Prozent, während IntelligentAV (IAV) – die KI-basierte Lösung des Unternehmens – ein Plus von zehn Prozent meldete. Die KI-gestützte Erkennung spiele eine zunehmend wichtigere Rolle bei der Aufdeckung komplexer Bedrohungen.
Netzwerkangriffe legten um 8,3 Prozent zu, allerdings bei gleichzeitig verringerter Vielfalt. Die Forscher identifizierten 380 eindeutige Signaturen, im Vorquartal waren es noch 412. Auffällig war eine neue JavaScript-basierte Angriffsmethode mit der Bezeichnung „WEB-CLIENT JavaScript Obfuscation in Exploit Kits“. Diese Methode nutzt Verschleierung als Ausweichtechnik, um ältere Kontrollmechanismen zu umgehen. Trotz neuer Exploits setzen Angreifer weiterhin stark auf ältere, weit verbreitete Schwachstellen in Browsern, Web-Frameworks und Open-Source-Tools.
„Laut aktuellem Bericht deutet alles darauf hin, dass die Zahl der Attacken mit fortschrittlicher Malware über verschlüsselte Kanäle weiter zunimmt“, kommentiert Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies. Angreifer würden alles daransetzen, Erkennungsmaßnahmen zu umgehen und die Auswirkungen ihrer Angriffe zu maximieren. Für Unternehmen mit begrenzten Ressourcen bestehe die Herausforderung darin, sich schnell mit wirksamen Maßnahmen anzupassen. Konsistente Patches, bewährte Abwehrmaßnahmen und fortschrittliche Detection-and-Response-Technologien blieben die wirksamsten Gegenmaßnahmen.
Polymorphe Bedrohungen und USB-Infektionen
Darüber hinaus nahmen Brandneue, einzigartige Malware-Bedrohungen um 26 Prozent zu. Diese polymorphen Bedrohungen umgehen die signaturbasierte Erkennung und wurden erst von erweiterten Diensten wie APT Blocker (Advanced Persistent Threat Blocker) und IAV identifiziert. Überraschend war das Auftreten zweier USB-basierter Malware-Bedrohungen. Sowohl die Remote-Access-Backdoor-Variante PUMPBENCH als auch der Loader HIGHREPS setzen einen Coin Miner namens XMRig ein, der die Kryptowährung Monero schürft. Ihr Aufkommen stehe wahrscheinlich im Zusammenhang mit der Verwendung von Hardware-Wallets bei Kryptowährungsbesitzern.
Bei Netzwerk-Malware dominierten Dropper: Sieben der zehn häufigsten Entdeckungen waren Payloads der ersten Stufe, darunter Trojan.VBA.Agent.BIZ und der Credential Stealer PonyStealer. Diese nutzen zur initialen Kompromittierung vom Benutzer aktivierte Makros aus. Das Mirai-Botnetz tauchte nach fünf Jahren wieder auf, vor allem im asiatisch-pazifischen Raum. Die Dominanz von Droppern zeigt laut Report, dass Angreifer mehrstufige Infektionen bevorzugen.
Zero-Day-Malware auf Rekordniveau
Zero-Day-Malware macht über 76 Prozent aller Erkennungen und fast 90 Prozent der verschlüsselten Malware aus. Diese Zahlen unterstreichen laut WatchGuard die Notwendigkeit fortschrittlicher Erkennungsfunktionen, die über Signaturen hinausgehen – insbesondere für Bedrohungen, die im TLS-Datenverkehr verborgen sind.
Auch DNS-basierte Bedrohungen bleiben präsent. Gefahr geht unter anderem von Domains aus, die mit dem Fernzugriffstrojaner DarkGate in Verbindung stehen – einer Loader-Malware, die als Remote Access Trojan fungiert. DNS-Filterung spielt als Verteidigungsstufe eine entscheidende Rolle.
Während die meisten Bedrohungen zunahmen, ging Ransomware um 47 Prozent zurück. WatchGuard deutet dies als Verlagerung zu weniger, aber wirkungsvolleren Angriffen auf hochkarätige Ziele mit größeren Folgen. Die Zahl der aktiven Erpressergruppen hat zugenommen, wobei Akira und Qilin zu den aggressivsten gehören.
Die Daten basieren auf anonymisierten, aggregierten Informationen aller aktiven WatchGuard-Lösungen, deren Besitzer der Weitergabe von Bedrohungsinformationen zugestimmt haben. Der vollständige Report steht in englischer Sprache zum Download bereit.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
