Autor: Alexander Ivanyuk – Senior Director, Technology
Das Acronis Cyberthreats Update berichtet über aktuelle Cyberbedrohungen und Trends, die von der Acronis Threat Research Unit (TRU) und Acronis Sensoren beobachtet wurden. Die hier vorgestellten Zahlen wurden im September 2025 erhoben und spiegeln die von Acronis entdeckten Bedrohungen sowie öffentliche Medienberichte wider. Der Bericht bietet einen globalen Überblick und basiert auf über einer Million individueller Endpunkte weltweit.
Der wichtigste Vorfall des Monats
Ein kürzlich veröffentlichtes Proof-of-Concept-Tool namens „EDR-Freeze” demonstriert, wie Cyberkriminelle die Windows-Fehlerberichterstattung (Windows Error Reporting, WER) ausnutzen können, um Sicherheits-Tools unbemerkt zu deaktivieren, ohne dass sie dazu einen anfälligen Treiber benötigen. Im Gegensatz zu den üblichen Tricks, bei denen ein eigener anfälliger Treiber verwendet wird, läuft dieser Angriff vollständig im Benutzermodus ab und nutzt legitime Windows-Komponenten. Zunächst wird ein geschützter WER-Prozess gestartet, der anschließend MiniDumpWriteDump in einer Sicherheitsapplikation aufruft. Dadurch werden alle Threads vorübergehend angehalten. Dann stoppen die Cyberkriminellen den WER-Prozess, bevor dieser wieder starten kann. Dadurch bleibt die EDR- oder Antivirussoftware des Opfers auf unbestimmte Zeit eingefroren.
Die Forschenden haben diese Technik unter Windows 11 getestet und dabei sogar Microsoft Defender lahmgelegt. Da diese Technik auf das beabsichtigte Verhalten von Windows abzielt, kann die Schwachstelle nicht einfach durch einen Patch behoben werden. Um diese Bedrohung abzuwehren, kann es notwendig sein, ungewöhnliche WER-Aktivitäten zu überwachen oder die Interaktion von Dumping-Tools mit sensiblen Prozessen einzuschränken.
Dieser Angriff kann zwar viele EDR-Lösungen lahmlegen, Acronis EDR ist jedoch immun dagegen. Tests zeigen, dass Acronis EDR den Angriff erkennt und blockiert, dabei voll funktionsfähig bleibt und gegen diese „Freeze“-Technik immun ist.
Erkannte Malware im September
Im September hat Acronis Cyber Protect fast 5 Mio. Malware-Bedrohungen auf Endpunkten abgewehrt.
Die folgenden Tabellen zeigen den Prozentsatz der Acronis Kund:innen, bei denen mindestens eine Malware-Bedrohung am Endpunkt blockiert wurde, sowie den normalisierten Prozentsatz der Kund:innen mit mindestens einer Malware-Erkennung. Je höher der Prozentsatz, desto höher ist das Risiko, dass ein Workload in diesem Land von Malware angegriffen wird.
Schutz
Die oben aufgeführten Bedrohungen können mit den Lösungen von Acronis erkannt und abgewehrt werden.
Acronis Cyber Protect Cloud schützt mit einem mehrschichtigen Sicherheitsansatz sowohl vor bekannten als auch vor völlig neuen Bedrohungen. Dieser Ansatz umfasst verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken, die Verschlüsselungsversuche erkennen und blockieren können. Werden dennoch Dateien manipuliert, so können diese automatisch und ohne Benutzereingriff zurückgesetzt werden.
Email Security und URL-Filterung bieten zusätzlichen Schutz vor Social-Engineering-Bedrohungen. Darüber hinaus können Sie mit Ihrem Acronis #CyberFit-Score Systeme, die Ihre Aufmerksamkeit erfordern, schnell identifizieren, während die integrierte Patch-Verwaltung es Ihnen ermöglicht, Ihre Software auf einfache Weise auf den neuesten Stand zu halten.
Acronis XDR für Acronis Cyber Protect Cloud bietet die nötige Transparenz, um Angriffe besser zu verstehen. Die Lösung stellt Administrator:innen verständliche Kontextinformationen zur Verfügung und ermöglicht eine effiziente Behebung aller Arten von Bedrohungen.