Acronis Cyberthreats Report H1 2025

Einige der Zahlen im Acronis Cyberthreats Report H1 2025 deuten darauf hin, dass die Maßnahmen zur Cybersicherheit wirken. Andere Statistiken zeigen jedoch, dass viele bekannte Bedrohungen für Unternehmen ständig gefährlicher werden. Der Bericht der Acronis Threat Research Unit bestätigt – wenig überraschend – dass Ransomware ihre unerbittliche Attacke fortsetzt. Es zeigt sich auch, dass Angreifer weniger bekannte Vektoren, insbesondere Kollaborationsanwendungen, nutzen, um Organisationen anzugreifen.

Basierend auf Daten von über einer Million eindeutiger globaler Endpunkte liefert der Acronis Cyberthreats Report H1 2025 nicht nur entscheidende Statistiken, sondern auch umsetzbare Ratschläge für Managed Service Provider (MSPs) und IT-Fachleute.

Anhaltende Verwüstung durch Ransomware

Ransomware stellt weiterhin eine erhebliche Bedrohung für Unternehmen aller Größenordnungen dar. Die Zahl der öffentlich bekannten Ransomware-Opfer stieg von Januar 2025 bis Juni 2025 im Vergleich zum gleichen Zeitraum in den Jahren 2023 und 2024 um fast 70 % und erreichte insgesamt 3.642 gemeldete Opfer. Der Februar 2025 verzeichnete mit 955 Opfern den höchsten Höchststand, der hauptsächlich auf die Ransomware-Gruppe Cl0p zurückzuführen war, die für 335 Fälle verantwortlich war – eine Steigerung von 300 % gegenüber dem Vormonat.

Zu den Ransomware-Trends gehörten:

• Eine anhaltend hohe Frequenz von Angriffen, die durch Ransomware-as-a-Service (RaaS)-Operationen angeheizt werden, welche von fragmentiertem Patch-Management und verzögerten Maßnahmen zur Risikominderung profitieren.
• Eine taktische Verlagerung hin zu leiserer Datendiebstahl-Erpressung und Zero-Day-Exploitation, mit gezielteren und heimlicheren Eindringungen anstelle von volumenbasierten Angriffen.
• Angreifer, die es auf das verarbeitende Gewerbe, den Einzelhandel und den Technologiesektor abgesehen haben, welche im ersten Quartal 2025 die am häufigsten von Ransomware-Angriffen betroffenen Branchen waren.

MSP im Visier: Neue Angriffsvektoren

Managed Service Provider (MSPs), IT-Beratungsunternehmen und Systemintegratoren bleiben aufgrund ihres privilegierten Zugriffs auf zahlreiche Kundenumgebungen weiterhin hochattraktive Ziele. Eine gute Nachricht ist, dass die Gesamtzahl der gemeldeten Vorfälle mit Erstzugriffen bei MSPs im ersten Halbjahr 2025 im Vergleich zum gleichen Zeitraum im Jahr 2024 von 90 auf 67 gesunken ist. Aber die Taktiken der Angreifer haben sich deutlich verändert.

Erste Angriffsvektoren für MSPs

Phishing machte im ersten Halbjahr 2025 mit 52 % den größten Anteil aller Erstanriffe auf MSPs aus – ein deutlicher Anstieg gegenüber 30 % im gleichen Zeitraum 2024. Dies deutet auf eine Verlagerung hin zu Social Engineering und der Ausnutzung menschlichen Verhaltens, verstärkt durch KI-generierte Köder und hybride Arbeitsumgebungen.

Ungepatchte Schwachstellen blieben ein Problem und nahmen von 23 % auf 27 % der ersten Angriffe auf MSPs zu, wobei Angreifer konsequent bekannte Fehler in weit verbreiteter Software von Drittanbietern ausnutzten, insbesondere in solchen, die für den MSP-Betrieb unerlässlich sind.

Ein weiterer positiver Datenpunkt betraf Exploits, die auf dem Remote Desktop Protocol (RDP) basierten und von 24 % auf nur noch 3 % stark zurückgingen, was darauf hindeutet, dass die breite Einführung der Multi-Faktor-Authentifizierung (MFA) und die verbesserte Absicherung von Endpunkten wirksame Abschreckungsmaßnahmen sind.

Der Missbrauch gültiger Konten oder Anmeldedaten ging ebenfalls zurück, wenn auch nur geringfügig, von 15 % auf 13 %. Angreifer erbeuten weiterhin Token und Passwörter mithilfe von Informationsdieben.

Der Aufstieg von KI-gestützten Cyberbedrohungen

Die Integration von KI in die Cyberkriminalität hat sich im ersten Halbjahr 2025 verstärkt und die Verbreitung von Cybercrime-as-a-Service (CaaS)-Modellen im Darknet vorangetrieben. KI demokratisiert hochentwickelte Angriffsmöglichkeiten und senkt die Einstiegshürde für weniger technisch versierte Kriminelle. Zu den Trends gehören:
• Automatisierung von Ransomware: Die FunkSec-Gruppe, die Ende 2024 in Erscheinung trat, erlangte Bekanntheit durch den Einsatz von KI zur Automatisierung der Erstellung von Malware und zur schnellen Entwicklung von Verschlüsselungswerkzeugen und Umgehungstechniken.
• Deepfake Social Engineering: Angreifer nutzen KI-generierte Deepfake-Technologie, um in betrügerischen Anlageprogrammen auf Social-Media-Plattformen öffentliche Persönlichkeiten nachzuahmen und Nutzer dazu zu bringen, sich auf Betrügereien einzulassen.

Diese Trends deuten auf die Notwendigkeit hin, sich stärker auf die Verhaltensanalyse zu konzentrieren, um subtile Nachahmungstaktiken aufzudecken, und auf eine gesunde Skepsis der Nutzer gegenüber Anlageberatung oder finanziellen Empfehlungen.

Von E-Mail zu Kollaborations-Apps

Während E-Mails weiterhin ein Hauptziel darstellen, konzentrieren sich Cyberkriminelle zunehmend auf Anwendungen für die Zusammenarbeit, wie beispielsweise Microsoft 365 und Microsoft Teams.

• Acronis Email Security hat vom 1. Januar 2025 bis zum 15. Mai 2025 7.201.107 Angriffe erkannt, was durchschnittlich 205 Erkennungen pro Organisation und Monat entspricht. Von den gescannten E-Mails waren 1,1 % bösartig.
• Phishing-Angriffe über Kollaborations-Apps stiegen stark von 9 % auf 30,5 %, und erweiterte Angriffe nahmen von 9 % auf 24,5 % zu. Umgekehrt sank der Anteil von Malware in Collaboration-Apps von 82 % auf 45 %.
• Phishing ist mit 69,8 % weiterhin die häufigste Art von E-Mail-Angriffen, gefolgt von Social Engineering oder Business Email Compromise (BEC) mit 25,6 %.
• Fast 1,5 % der gescannten Microsoft 365-E-Mail-Backups waren von Malware betroffen, wobei 40 % der URLs Phishing-Links und 30 % bösartige Links waren.
Diese Entwicklung unterstreicht die Notwendigkeit umfassender Sicherheitsmaßnahmen, die über den traditionellen E-Mail-Schutz hinausgehen und auch Kollaborationsplattformen umfassen. Organisationen müssen sicherstellen, dass für alle Kommunikationskanäle robuste Sicherheitsmaßnahmen vorhanden sind.

Allgemeine Malware-Bedrohungen und -Sicherheitslücken

Malware blieb ein heikles Thema, mit einer rasanten Verbreitung von Varianten und einer Zunahme von Schwachstellen:
• Die durchschnittliche Lebensdauer einer Malware-Probe betrug im Mai 2025 nur 1,4 Tage, was darauf hindeutet, dass Angreifer Automatisierung nutzen, um schnell neue und personalisierte Malware-Varianten zu erstellen.
• Von Januar 2025 bis April 2025 wurden etwa 5.000 gängige Schwachstellen und Sicherheitslücken (CVEs) veröffentlicht, was eine deutliche Steigerung gegenüber etwa 4.000 im gleichen Zeitraum des Jahres 2024 darstellt.
• Fast 5 % der überwachten Organisationen wiesen ungepatchte Schwachstellen in TeamViewer auf, einem Tool für die Fernverwaltung, das häufig bei Angriffen ausgenutzt wird.

Wie MSPs sich und ihre Kunden schützen können

Die Entwicklung von Cyberbedrohungen macht die Arbeit von Dienstleistern nicht gerade einfacher, aber die Einhaltung einiger bewährter Verfahren kann MSPs helfen, ihre Kunden zu schützen.
Eine ganzheitliche Cyberschutzstrategie, die fortschrittliche Erkennungs-, Reaktions- und Wiederherstellungsfunktionen nativ integriert, ist für den Kundenschutz unerlässlich. Eine integrierte Cyber-Schutzplattform mit manipulationssicheren Backups ist entscheidend für eine schnelle Datenwiederherstellung und die Minimierung von Störungen. Regelmäßige Tests der Wiederherstellungsprozesse sind ebenfalls von entscheidender Bedeutung.

MSPs müssen mehrschichtige Technologien implementieren, darunter KI-basierte Erkennung, Extended Detection and Response (XDR), Endpunktschutz, Webfilterung sowie robuste Sicherheitsmaßnahmen für E-Mails und Kollaborationsanwendungen. Diese Funktionen identifizieren und neutralisieren proaktiv Bedrohungen in den Umgebungen der Kunden.

Dienstleister können sich und ihre Kunden auch schützen, indem sie Betriebssysteme, Anwendungen und insbesondere Remote-Monitoring- und Management-Tools (RMM), die häufige Einfallstore für Bedrohungsakteure darstellen, konsequent mit Patches versehen. Tatsächlich sollten MSPs die RMM-Infrastruktur als wertvolles Gut behandeln und sie kontinuierlich auf ungewöhnliches Verhalten beim Fernzugriff überwachen.

Jede Organisation sollte auf Cyberbedrohungen vorbereitet sein. Der Bericht dient als Erinnerung daran, dass es einige grundlegende Praktiken gibt, die jeder – sowohl Dienstleister als auch andere Arten von Organisationen – befolgen sollte.

• Bereiten Sie sich auf Phishing-Versuche vor: Schulen Sie die Benutzer darin, wachsam gegenüber betrügerischen E-Mails und Nachrichten zu sein und keine verdächtigen Links anzuklicken. Der Anstieg an KI-generierten Ködern macht dies noch wichtiger.
• Sicherstellen, dass Cybersicherheitslösungen korrekt konfiguriert sind: Eine gut konfigurierte Sicherheitslösung ist für eine effektive Verteidigung unerlässlich. Eine Lösung, die nicht richtig eingerichtet ist, kann eine riesige Sicherheitslücke hinterlassen.
• Achten Sie auf KI-generierte Inhalte: Überprüfen Sie Anlageberatungen oder finanzielle Empfehlungen von öffentlichen Personen über offizielle Kanäle, da Deepfake-Technologie in betrügerischen Machenschaften eingesetzt wird.
Durch das Verständnis sich entwickelnder Bedrohungen und die Implementierung umfassender Strategien zum Schutz vor Cyberangriffen können Unternehmen ihre Widerstandsfähigkeit gegen ausgefeilte Cyberangriffe erheblich verbessern.

Some of the numbers in Acronis Cyberthreats Report H1 2025 suggest that cybersecurity measures are working. However, other statistics show that many familiar threats to organizations continue to grow more dangerous all the time. The report, from the Acronis Threat Research Unit, confirms — no doubt to little surprise — that ransomware continues its relentless assault. It also reveals that attackers are using less familiar vectors, particularly collaboration applications, to strike organizations.

Based on data from over a million unique global endpoints, the Acronis Cyberthreats Report H1 2025 provides not only crucial statistics but also actionable advice for managed service providers (MSPs) and IT professionals.

Ransomware’s continued reign of havoc

Ransomware remains a dominant threat to businesses of all sizes. The number of publicly known ransomware victims from January 2025 to June 2025 surged by nearly 70% compared to the same period in both 2023 and 2024, totaling 3,642 claimed victims. February 2025 marked the highest peak with 955 victims, largely driven by the Cl0p ransomware group, which was responsible for 335 cases — a 300% month-over-month increase.

Ransomware trends included:

• A sustained high cadence of attacks fueled by ransomware-as-a-service (RaaS) operations, which capitalize on fragmented patch management and delayed mitigations.
• A tactical shift towards quieter data-theft extortion and zero-day exploitation, with more surgical and stealthy intrusions rather than volume-based attacks.
• Attackers going after the manufacturing, retail and technology sectors, which were the most targeted industries for ransomware attacks in Q1 2025.

MSPs in the crosshairs: Shifting attack vectors

MSPs, IT consulting firms and system integrators continue to be high-value targets due to their privileged access to numerous client environments. One bit of good news is that the overall number of reported initial access incidents involving MSPs declined from 90 to 67 in H1 2025 compared to the same period in 2024. But attacker tactics shifted significantly.

Initial attack vectors for MSPs

Phishing surged to 52% of all initial attacks on MSPs in H1 2025, a major shift from 30% in the same period in 2024. This indicates a move toward social engineering and exploiting human behavior, amplified by AI-generated lures and hybrid work environments.

Unpatched vulnerabilities remained a problem, increasing from 23% to 27% of initial attacks on MSPs, with attackers consistently exploiting known flaws in widely used third-party software, especially those integral to MSP operations.

Another positive data point involved exploits based on remote desktop protocol (RDP), which dropped sharply from 24% to just 3%, suggesting that widespread multifactor authentication (MFA) adoption and improved endpoint hardening are effective deterrents.

Abuse of valid accounts or credentials also decreased, though only slightly, from 15% to 13%. Attackers continue to harvest tokens and passwords via infostealers.

The rise of AI-powered cyberthreats

AI’s integration into cybercrime intensified in H1 2025, fueling the proliferation of cybercrime-as-a-service (CaaS) models on the dark web. AI democratizes sophisticated attack capabilities, lowering the barrier to entry for less technically skilled criminals. Trends include:

• Ransomware automation: The FunkSec group, which emerged in late 2024, gained notoriety for using AI to automate malware creation and enable rapid development of encryption tools and evasion techniques.
• Deepfake social engineering: Attackers are using AI-generated deepfake technology to impersonate public figures in fraudulent investment schemes on social media platforms, tricking users into engaging with scams.

These trends point to the need for a greater focus on behavioral analysis to detect subtle impersonation tactics and a healthy skepticism from users towards investment advice or financial endorsements.

Shifting sands: From email to collaboration apps

While email remains a prime target, cybercriminals are increasingly focusing on collaboration applications, such as Microsoft 365 and Microsoft Teams.

• Acronis Email Security detected 7,201,107 attacks from January 1, 2025, to May 15, 2025, averaging 205 detections per organization per month. Of scanned emails, 1.1% were malicious.

• Phishing in collaboration apps rose sharply from 9% of attacks to 30.5%, and advanced attacks increased from 9% to 24.5%. Conversely, malware in collaboration apps fell from 82% to 45%.

• Phishing remains the dominant type of email attack at 69.8%, followed by social engineering or business email compromise (BEC) at 25.6%.

• Almost 1.5% of Microsoft 365 email backups scanned were affected by malware, with 40% of URLs being phishing links and 30% malicious links.

This shift underscores the need for comprehensive security that extends beyond traditional email protection to include collaboration platforms. Organizations must ensure robust security measures are in place for all communication channels.

General malware threats and vulnerabilities

Malware remained a thorny issue, with a rapid proliferation of variants and an increase in vulnerabilities:

• The average lifetime of a malware sample in May 2025 was just 1.4 days, indicating attackers‘ use of automation to rapidly create new and personalized malware variants.

• Approximately 5,000 common vulnerabilities and exposures (CVEs) were published from January 2025 to April 2025, a significant increase from around 4,000 in the same period of 2024.

• Nearly 5% of organizations monitored had unpatched vulnerabilities in TeamViewer, a remote management tool frequently exploited in attacks.

How MSPs can protect themselves and clients

The evolution of cyberthreats isn’t making service providers’ jobs any easier, but following a few best practices can help MSPs keep their clients safe.

A holistic cyber protection strategy that natively integrates advanced detection, response and recovery capabilities is essential to client protection. An integrated cyber protection platform with tamper-proof backups is crucial for rapid data restoration and minimizing disruption. Regular testing of restoration processes is also vital.

MSPs need to implement multilayered technologies, including AI-based detection, extended detection and response (XDR), endpoint protection, web filtering and robust email and collaboration app security. Those capabilities proactively identify and neutralize threats across client environments.

Service providers can also take care of themselves and their clients by rigorously applying patches to operating systems, applications and especially remote monitoring and management (RMM) tools, which are frequent entry points for threat actors. In fact, MSPs should treat RMM infrastructure as a high-value asset, continuously monitoring it for unusual remote access behavior.

Every organization should be prepared for cyberthreats

The report serves as a reminder that there are some basic practices everybody — both service providers and other types of organizations — should follow.

• Prepare for phishing attempts: Teach users to be vigilant against deceptive emails and messages and not to click suspicious links. The surge in AI-generated lures makes this even more critical.
• Ensure cybersecurity solutions are properly configured: A well-configured security solution is vital for effective defense. A solution that’s not set up properly can leave a huge security hole.
• Be on the lookout for AI-generated content: Verify investment advice or financial endorsements from public figures through official channels, as deepfake technology is used in fraudulent schemes.

By understanding evolving threats and implementing comprehensive cyber protection strategies, organizations can significantly enhance their resilience against sophisticated cyberattacks.