Според последния Internet Security Report на WatchGuard за второто тримесечие на 2025 г., киберпрестъпниците масово използват шифровани връзки, за да крият зловреден код — зловредният трафик по TLS вече съставлява ~70% от всички доставени малуери. Евазивните (скрити) атаки нараснаха с 40% спрямо предходния период, а zero-day заплахите формират над 76% от детекциите и почти 90% от шифрованите случаи.

Най-важните констатации (акценти)

• Евазивни атаки (encrypted/obfuscated) – +40% в Q2 2025.

• 70% от всички зловредни доставки преминават през шифрован трафик (TLS).

• Zero-day представляват 76% от детекциите; те са ~90% от шифрованите малуери.

• Полиморфен/packed малуер – +26%; нараства използването на обфускация и паковане.

• Многостадийни вериги: 7 от топ 10 детекции са droppers (първични доставчици на вторични payloads).

• USB-вектори се завръщат — нови семейства като PUMPBENCH и HIGHREPS (крипто-майнъри).

Какво означава това за защитниците

Атаките стават по-невидими и по-усложнени: шифроването, пакетирането и zero-day компонентите правят подхода „само със сигнатура“ неадекватен. За MSP и IT екипи видимостта в TLS и възможността за анализ на неизвестни заплахи в реално време вече са задължителни.

Технически и оперативни препоръки (конкретни стъпки)

1. TLS инспекция и декрипция

   • Внедрете TLS/SSL inspection (по възможност на границата и на ключови сегменти), като осигурите правилна политика за изключения (по приложения/сертификати) и съобразите с регулаторните изисквания за поверителност.

2. AI/behavior-based детекция

   • Интегрирайте поведенчески и AI-движени решения (IntelligentAV, APT Blocker, EDR с поведенчески анализ) за откриване на zero-day и полиморфен код.

3. Многослойна архитектура

   • Комбинирайте защита на крайна точка (EDR), мрежова и DNS-базирана филтрация (Secure Web Gateway, DNS security) и NTA (Network Traffic Analysis).

4. Фокус върху droppers и multi-stage вериги

   • Настройте правила за ранно блокиране и sandboxing на малки/първични файлове; наблюдавайте за последващи C2 комуникации и странни динамики на процесите.

5. Защита срещу USB вектори

   • Политики за блокиране/контрол на removable media; използвайте DLP и device control на endpoint решенията.

6. Постоянно пачване и управление на уязвимости

   • Автоматизирайте инвентаризация, приоритизация на критични пачове и намаляване на атакуемата повърхност.

7. Логване, наблюдение и инцидентен отговор

   • Централизирани логове, SIEM/EDR интеграция, runbooks за TLS-скрити инциденти; тестови упражнения.

8. Обучение и оперативна готовност за MSP

   • За MSP — пакетни решения за клиенти: TLS инспектиране, управлявано откриване, регулярни threat-hunting дни и автоматизирани репорти.

Практически съвети за приоритизация (за ограничени ресурси)

• Ако ресурсите са ограничени: приоритизирайте TLS видимост (например за почетните 20% от услугите/сървърите), EDR с поведенчески анализ и критични пачове.

• MSP: предлагайте „lite“ TLS inspection + managed EDR като начален абонамент и upsell към full detection и hunting услуги.

Какво да следите в логовете (IOCs и поведенчески индикатори)

• Неочаквани outbound TLS връзки към нови/непознати домейни със съмнителни сертификати.

• Чести малки даунлоуди (droppers) последвани от необичайни child процеси.

• Proc execution на нестандартни пътища, certutil използване за payload retrieval.

• Неразпознати USB mount/exec събития (autorun, wscript/powershell стартирания от флашки и други).

• Внезапни spike-ове в CPU/IO (симптоми на майнинг софтуер) от endpoint телеметрия.

„За ресурсно ограничени MSP и lean IT екипи предизвикателството е да се адаптират бързо. Последователното пачване, доказани контролни точки и бързи детекции са ключът да останеш пред нападателя.“ — Кори Нахрайнер, CSO, WatchGuard.