Il nuovo Internet Security Report WatchGuard H2 2025 fotografa un panorama in forte trasformazione: il malware unico cresce del 1.548% nel solo quarto trimestre, mentre le minacce cifrate e le tecniche living-off-the-land ridefiniscono le priorità di difesa per gli MSP. Il report evidenzia come i modelli reattivi basati su firme siano ormai insufficienti di fronte a un ecosistema di attacco sempre più dinamico e distribuito.
Internet Security Report WatchGuard H2 2025: network in crescita, endpoint in contraddizione
Dal punto di vista della rete, il malware rilevato aumenta del 26% su base semestrale. Ogni Firebox ha registrato in media 1.260 rilevamenti di malware, con una crescita significativa delle minacce intercettate dai motori tradizionali GAV (+89%) ma un calo di quelle identificate da IAV (-49%) e APT Blocker (-16%). Il dato più rilevante riguarda però l’evasività: il 23% del malware ha eluso i sistemi basati su firme, configurandosi come minaccia zero-day.
Sul fronte endpoint, il volume complessivo di malware cala leggermente (-4,6%), ma il numero di campioni unici esplode. È il segnale più chiaro della mutazione in atto: meno attacchi ripetitivi, più codice nuovo progettato per bypassare le difese esistenti.
Il traffico cifrato resta uno dei vettori privilegiati. Il 96% del malware bloccato è transitato su TLS, mentre il malware evasivo rilevato su connessioni cifrate è cresciuto di quasi il 2.000%. La cifratura diventa così un fattore strutturale di opacità operativa per chi non implementa ispezione HTTPS.
Malware unico e tecniche LotL: cambia il vettore d’attacco
Una delle evidenze più significative dell’Internet Security Report WatchGuard H2 2025 riguarda l’evoluzione dei vettori di infezione. Gli script malevoli, tradizionalmente dominanti, cedono il passo ai file binari Windows sfruttati con tecniche living-off-the-land. Gli attaccanti utilizzano strumenti legittimi di sistema per mascherare l’attività malevola, rendendo più complesso il rilevamento.
I dropper rappresentano il 60% delle principali famiglie malware per volume e l’80% delle minacce cifrate più diffuse. Non si punta più alla consegna diretta del payload finale, ma a fasi intermedie di staging che aumentano resilienza e capacità di evasione.
Sul fronte rete, gli exploit calano del 28%, ma continuano a colpire vulnerabilità note, in particolare applicazioni web. Segnale che l’igiene di patch management resta un fattore critico.
Ransomware in calo, ma aumenta il valore delle estorsioni
Il ransomware diminuisce del 68,42% su base annua, ma il dato va interpretato correttamente. Gli attori malevoli sembrano orientarsi verso operazioni più selettive e ad alto valore, privilegiando il cosiddetto big game hunting. Meno attacchi indiscriminati, più campagne mirate con richieste elevate.
Parallelamente, il cryptomining continua a rappresentare una modalità di monetizzazione a basso attrito. Una volta ottenuto l’accesso, sfruttare le risorse della vittima resta un’opzione stabile e redditizia.
Cosa significa per gli MSP nel 2026
Per WatchGuard il messaggio è netto: gli MSP devono superare l’approccio puntuale e reattivo. Serve una strategia unificata che integri protezione di rete, endpoint e identità con threat intelligence continua e capacità MDR attive 24/7.
Come afferma Corey Nachreiner, Chief Security Officer di WatchGuard Technologies, “L’attuale panorama delle minacce ha superato le soluzioni puntuali e i modelli di sicurezza reattivi”. E aggiunge: “Gli MSP che avranno successo nel 2026 e negli anni a venire saranno quelli in grado di dimostrare concretamente un approccio proattivo basato su threat intelligence e una protezione unificata su tutti gli ambienti dei clienti.”
L’Internet Security Report WatchGuard H2 2025 non è solo una fotografia dei numeri, ma un’indicazione strategica: la complessità cresce, l’evasività aumenta, la cifratura è la norma. Per chi eroga servizi gestiti, differenziarsi significherà dimostrare visibilità end-to-end e capacità di risposta continua.
