Acronis Cyberthreats Report H2 2025

Die Zahlen auf globaler Ebene zeigen das Ausmaß. Zwischen Januar und Mitte Dezember 2025 nannten Ransomware-Banden öffentlich 7.681 Opferorganisationen. Zwei Zeiträume prägten das Jahr: Februar, als die Offenlegungen in einem einzigen Monat 1.000 überstiegen – hauptsächlich getrieben durch die Ausnutzung der Cleo Managed-File-Transfer-Schwachstelle durch die Cl0p-Gruppe – und Oktober, als Cl0p wieder auftauchte, um eine kritische Remote-Code-Ausführungsanfälligkeit in Oracle E-Business Suite auszunutzen, was die Offenlegungsvolumina erneut steil nach oben trieb. Diese Spitzen waren keine Ausreißer. Sie spiegelten die strukturelle Logik moderner Ransomware wider: eine kleine Anzahl von Betreibern mit hohem Volumen, unterstützt von ausgereiften Partnernetzwerken, die wiederholt weit verbreitete Unternehmensplattformen ins Visier nehmen, um eine überproportionale nachgelagerte Wirkung zu erzielen.

EMEA als Ziel: Engagement ohne Extreme

Innerhalb Europas zeigt sich eher ein Bild anhaltender Exposition als dramatischer Spitzen. Das Vereinigte Königreich und Deutschland machen einen erheblichen Anteil der öffentlich bekannt gewordenen europäischen Opfer aus und belegen weltweit die Plätze fünf und sechs hinter den Vereinigten Staaten, Kanada, Australien und, insgesamt, dem südeuropäischen Cluster aus Frankreich, Italien und Spanien. Drittanbieter- und Lieferkettenkompromittierung machen einen erheblichen Teil dieser Gefährdung aus. Von Januar bis November 2025 waren Deutschland und das Vereinigte Königreich durchweg unter den Top Ten der Länder mit Vorfällen im Zusammenhang mit Lieferketten vertreten – eine Kategorie, die weltweit von Gruppen wie Akira, Cl0p und Qilin dominiert wird.

Die Telemetriedaten für Malware-Erkennungen in europäischen Ländern zeigen ein Muster, das für die entwickelten Volkswirtschaften der Region typisch ist. Spanien verzeichnete die höchste normalisierte Malware-Exposition unter den erfassten europäischen Ländern, mit starken Anstiegen im Frühjahr und Frühherbst, die sich in geringerem Umfang in Italien, Deutschland und Frankreich widerspiegelten. Die synchronisierten Zeitpunkte deuten auf koordinierte Verteilungswellen hin – Ransomware-Loader und Initial Access Broker, die in großem Maßstab eingesetzt werden und schnell monetarisieren, bevor die Erkennungsinfrastruktur aufholen kann. Schweden, Dänemark und die Schweiz zeigten deutlich flachere Profile, was mit einer stärkeren Filterung in der vorgelagerten Kette und einer höheren Sicherheitsgrundlagenreife übereinstimmt, obwohl sie nicht immun gegen die gleichen Kampagnenzyklen waren.

Bis zur zweiten Jahreshälfte war die Malware-Exposition in den meisten europäischen Ländern auf einstellige Werte gesunken – ein Muster, das weltweit zu beobachten war und auf eine Kombination aus verbesserter Erkennungsabdeckung, Infrastruktur-Stilllegungen und Kampagnen zurückgeführt wurde, die mit der Erweiterung der Signaturdatenbanken ausbrannten. Das erste Quartal, insbesondere der März, war in praktisch jedem beobachteten Land das aktivste Bedrohungsfenster.

Die Mechanik des Eindringens: Skriptgesteuert, auf Qualifikationen ausgerichtet

Die EDR- und XDR-Erkennungsdaten für Deutschland bieten einen detaillierten Einblick in die praktische Abwicklung von Angriffen. Das vorherrschende Muster umfasste MSHTA-PowerShell-Ausführungsketten – Angreifer missbrauchten mshta.exe, eine legitime Windows-Binärdatei, als Staging-Mechanismus zur Ausführung schädlicher HTML-Anwendungsdateien. Dieser Ansatz, von der Natur zu leben, ermöglichte es, dass sich Eindringlinge von der ersten Ausführung über den Diebstahl von Anmeldeinformationen bis hin zur seitlichen Bewegung fortbewegen konnten, während sie gleichzeitig nur schwer von routinemäßigen Verwaltungsaktivitäten zu unterscheiden waren. Infostealer-Erkennungen bestätigten, dass viele dieser Ketten sich schnell in die Erfassung von Anmeldeinformationen bewegten, wobei PowerShell-Prozesse umbenannt oder maskiert wurden, um der Erkennung zu entgehen.

Frankreich zeigte ein anderes, aber ebenso besorgniserregendes Profil. Die Erkennungen deuteten auf groß angelegtes Kryptomining neben unternehmensspezifischen Post-Exploitation-Taktiken hin – insbesondere auf Credential Dumping über NTDS und SAM-Kopieren, SMB-basierte laterale Bewegung, die mit Impacket-Tools übereinstimmt, und in einigen Fällen auf ransomware-ähnliches Schreibverhalten, das auf Kompromittierungen hindeutet, die sich in Richtung destruktiver oder erpresserischer Endpunkte bewegen. Die gleichzeitige Präsenz von opportunistischem Mining und Werkzeugen von Eindringungsqualität in derselben Umgebung deutet darauf hin, dass Frankreich sowohl von Betreibern von Commodity-Malware als auch von gezielteren Bedrohungsakteuren angegriffen wurde, die höherwertige Ergebnisse anstrebten.

Die Niederlande präsentierten im Laufe des Jahres 2025 ein PowerShell-zentriertes Profil. Umbenannte PowerShell-Prozesse, starke Verschleierung durch Zeichen- und Byte-Escape-Techniken und verschlüsselte Download-String-Aktivität waren die dominierenden Signale, was die Erkenntnis bestärkte, dass dateilose und nahezu dateilose Angriffsketten nicht auf Regionen mit höherem Risiko beschränkt sind, sondern ein Standardansatz in westeuropäischen Umgebungen darstellen.

Struktureller Wandel bei Ransomware: Daten über Verschlüsselung

2025 bestätigte sich über EMEA und weltweit hinweg eine beschleunigte Verschiebung in den Ransomware-Taktiken. Datenexfiltration und öffentlicher Druck sind dabei zunehmend die primären Zwangsmittel, während die Verschlüsselung an Bedeutung verliert oder in einigen Kampagnen sogar ganz fehlt. Qilin, der nach Opferzahl produktivste Ransomware-Betreiber des Jahres, veranschaulichte dieses Modell: doppelte Erpressung, disziplinierte laterale Bewegung, gestaffelte Datenexfiltration vor der Ausführung der Nutzlast sowie die Verwendung plattformübergreifender Ransomware, die sowohl Windows- als auch Linux-Umgebungen angreifen kann. Cl0p ging sogar noch weiter und verzichtete oft gänzlich auf die Verschlüsselung, um stattdessen Massendatendiebstahlereignisse zu begangen – ein Modell, das sich insbesondere in Lieferkettenszenarien als äußerst effektiv erwies, da eine einzige anfällige Plattform gleichzeitig Hunderte nachgelagerte Organisationen gefährdet.

Für europäische Unternehmen hat diese taktische Entwicklung direkte regulatorische Auswirkungen. Selbst wenn die Verschlüsselung auf die Infrastruktur des Anbieters beschränkt bleibt, löst allein der Datendiebstahl Benachrichtigungspflichten gemäß der Datenschutz-Grundverordnung aus. Darüber hinaus können Vertragsstrafen verhängt werden und in regulierten Sektoren werden die Aufsichtsbehörden aktiv. Der Explosionsradius eines erfolgreichen Angriffs auf einen Managed Service Provider oder Softwareanbieter, der europäische Kunden bedient, erstreckt sich weit über die direkt kompromittierte Entität hinaus.

Phishing und das Problem der Kollaborationsplattformen

E-Mail blieb im Laufe des Jahres 2025 das wichtigste Angriffsmittel, aber sein Charakter veränderte sich. Phishing machte in der zweiten Jahreshälfte 83 % aller E-Mail-Bedrohungen aus. Das Volumen der E-Mail-basierten Angriffe pro Organisation stieg im Jahresvergleich um 16 %, die Angriffe pro Einzelnutzer nahmen um 20 % zu. Unter den Managed Service Providern, die eine kritische Schicht des europäischen IT-Ökosystems bilden, machten Phishing-Angriffe 52 % aller identifizierten initialen Zugangsvektoren aus.

Der bedeutendere Wandel war jedoch der starke Anstieg der Angriffe, die über Kollaborationsplattformen durchgeführt wurden. Fortgeschrittene Angriffe über Kanäle wie Microsoft Teams stiegen von 12 % der Gesamtzahl im Jahr 2024 auf 31 % im Jahr 2025.

Der Mechanismus ist gut dokumentiert: Bedrohungsakteure nehmen über die externe Chatfunktion von Teams Kontakt auf, geben sich als IT-Support- oder Helpdesk-Mitarbeiter aus, eskalieren zu Sprachanrufen oder Bildschirmfreigabesitzungen und üben Echtzeit-sozialen Druck aus, um Anmeldeinformationen zu erpressen, Authentifizierungsanfragen zu genehmigen oder Remote-Zugriffstools zu installieren. Diese Technik verkürzt die Zeit vom ersten Kontakt bis zum validierten Netzwerkzugriff, umgeht Kontrollen, die auf E-Mail-basierte Bedrohungen kalibriert sind, und nutzt das institutionelle Vertrauen aus, das Organisationen in ihre internen Kommunikationsplattformen setzen.

Die sogenannte ClickFix-Technik, bei der Opfer durch eine Reihe scheinbar korrigierender Schritte geführt werden, die tatsächlich bösartige Skripte ausführen, entwickelte sich branchenübergreifend zu einem wiederkehrenden Muster. Indem die Benutzer dazu verleitet wurden, die Ausführung selbst zu initiieren, umgingen diese Angriffe Kontrollen, die dazu dienten, bekannte bösartige Binärdateien zu blockieren. Dadurch verlagerte sich das Problem auf die Verhinderung menschgesteuerter Ausführung, was in großen Unternehmensumgebungen eine erheblich schwierigere Herausforderung darstellt.

Fernüberwachungs- und -verwaltungstools, die für den Betrieb von MSPs in ganz Europa von zentraler Bedeutung sind, wurden in der zweiten Hälfte des Jahres 2025 systematisch missbraucht. Dokumentierte Fälle zeigten, dass Ransomware-Gruppen – darunter Qilin, Akira und DragonForce – gestohlene Anmeldeinformationen nutzten, um auf legitime RMM-Konsolen zuzugreifen und gleichzeitig Ransomware auf mehreren verwalteten Endpunkten zu verteilen. Dadurch wurden die Auswirkungen drastisch verstärkt. In einigen Fällen installierten die Angreifer nach der Kompromittierung ihre eigenen RMM-Agenten und wandelten die Infrastruktur der Opfer in ferngesteuerte Assets um, die sie kontrollieren konnten.

Künstliche Intelligenz: Vom Experiment zur Operation

Die Bewertung des Berichts zur Nutzung von KI durch kriminelle Akteure ist eindeutig. Im Jahr 2025 wechselte KI von der opportunistischen oder experimentellen Nutzung in betriebliche Arbeitsabläufe. KI-gestützte Phishing-Kampagnen wurden kontextuell überzeugender, indem sie kohärente E-Mail-Threads über mehrere Runden aufrechterhielten und die Nachrichten anpassten. Dies war zuvor in großem Maßstab nicht möglich. Sprachklonen und synthetische Medien wurden in virtuellen Entführungs-Erpressungsschemen und Executive-Impersonation-Angriffen eingesetzt. Dadurch konnten die Täter realistischer kommunizieren und den Druck effizienter aufrechterhalten.

Für europäische Organisationen bedeutet dies, dass Social-Engineering-Abwehrmaßnahmen, die darauf ausgelegt sind, schlecht geschriebene oder kontextuell unglaubwürdige Nachrichten zu erkennen, nicht mehr ausreichen. Die Grundfähigkeit von Commodity-Phishing wurde strukturell und dauerhaft erhöht.

Ausblick auf 2026

Die für 2025 prognostizierte Entwicklung deutet auf mehrere konvergierende Risiken für die Region Europa, Mittlerer Osten und Afrika (EMEA) im kommenden Jahr hin. Ransomware wird sich zunehmend von verschlüsselungsbasierten Modellen wegbewegen und sich auf Datendiebstahl, regulatorischen Druck und Geschäftsunterbrechungen als primäre Monetarisierungshebel konzentrieren. MSPs, die den administrativen Zugriff auf viele Kundenumgebungen konzentrieren, sind weiterhin das am höchsten hebelwirksame Ziel: Die Kompromittierung der Identitätsstruktur oder der Management-Tools eines einzelnen MSP ermöglicht wiederholbaren, groß angelegten Zugriff, ohne dass ein aufsehenerregendes Eindringen auf Endgeräteebene erforderlich ist.

Angriffe auf die Identitätsinfrastruktur, die SaaS-Verwaltung sowie nicht-menschliche Identitäten – Dienstkonten, API-Schlüssel und Automatisierungszugangsdaten – werden voraussichtlich zunehmen. Die Kompromittierung der Lieferkette durch vertrauenswürdige Anbieterintegrationen und Schwachstellen in RMM- oder PSA-Plattformen wird Angreifern auch weiterhin skalierbare und schwer erkennbare Einstiegspunkte in europäische Unternehmensumgebungen bieten.

Eine weitere Entwicklung, die die Aufmerksamkeit von Unternehmen in regulierten europäischen Sektoren verdient: Das NIST hat im Jahr 2024 seine ersten Post-Quanten-Kryptografie-Standards fertiggestellt und das Übergangsfenster für die Abschaffung quantenanfälliger Algorithmen läuft bis zum Jahr 2035.

Für MSPs und Unternehmen, die langlebige Daten, PKI-Infrastrukturen, VPN- oder Zero-Trust-Netzwerkzugangsdienste verwalten, ist das Jahr 2026 das Jahr, in dem die Post-Quanten-Planung von theoretischen Überlegungen zu Beschaffungs- und Architekturentscheidungen übergeht.

Aus allen Dimensionen der Daten für das Jahr 2025 lässt sich die einheitliche Schlussfolgerung ziehen, dass das Risiko von Cyberkriminalität für europäische Unternehmen weniger durch eine einzelne Malware-Familie als vielmehr durch systemische Eigenschaften geprägt ist: die Konzentration von Privilegien in den Anbieterschichten, die Geschwindigkeit, mit der KI-gestütztes Social Engineering skaliert werden kann, sowie die strukturelle Schwierigkeit, eine erheblich komplexer gewordene Identität und Kontrollfläche zu verwalten. Defensive Investitionen, die diese systemischen Faktoren nicht berücksichtigen, lassen Unternehmen ungeschützt – unabhängig davon, wie gut einzelne technische Kontrollen funktionieren.

The numbers at the global level frame the scale. Between January and mid-December 2025, ransomware gangs publicly named 7,681 victim organizations. Two periods defined the year: February, when disclosures exceeded 1,000 in a single month — driven largely by the Cl0p group’s exploitation of the Cleo managed-file-transfer vulnerability — and October, when Cl0p resurfaced to exploit a critical remote code execution flaw in Oracle E-Business Suite, pushing disclosure volumes sharply upward again. These peaks were not aberrations. They reflected the structural logic of modern ransomware: a small number of high-volume operators, supported by mature affiliate networks, repeatedly targeting widely deployed enterprise platforms to achieve disproportionate downstream impact.

EMEA as a Target: Exposure without Extremes

Within Europe, the picture is one of persistent exposure rather than dramatic spikes. The United Kingdom and Germany account for a substantial share of publicly disclosed European victims, placing fifth and sixth globally behind the United States, Canada, Australia and, in aggregate, the southern European cluster of France, Italy and Spain. Third-party and supply chain compromise accounts for a significant portion of this exposure. From January to November 2025, Germany and the United Kingdom both appeared consistently in the top ten countries for supply chain-related incidents — a category dominated globally by groups such as Akira, Cl0p and Qilin.

The telemetry data for malware detections across European countries reveals a pattern common to the region’s developed economies. Spain recorded the highest normalised malware exposure among the European countries tracked, with sharp spikes in spring and early autumn that were mirrored at lower levels in Italy, Germany and France. The synchronised timing points to coordinated distribution waves — ransomware loaders and initial access brokers deploying at scale and monetising quickly before detection infrastructure caught up. Sweden, Denmark and Switzerland showed considerably flatter profiles, consistent with stronger upstream filtering and higher baseline security maturity, though they were not immune to the same campaign cycles.

By the second half of the year, malware exposure across most European countries had declined to mid-single-digit levels — a pattern seen globally and attributed to a combination of improved detection coverage, infrastructure takedowns and campaigns burning out as signature databases expanded. The first quarter, particularly March, was the most active threat window across virtually every country observed.

The Mechanics of Intrusion: Script-Led, Credential-Focused

The EDR and XDR detection data for Germany offers a granular view of how attacks unfolded in practice. The dominant pattern involved MSHTA-PowerShell execution chains — attackers abusing mshta.exe, a legitimate Windows binary, to execute malicious HTML Application files as a staging mechanism. This living-off-the-land approach allowed intrusions to progress from initial execution to credential theft and lateral movement while remaining difficult to distinguish from routine administrative activity. Infostealer detections confirmed that many of these chains moved rapidly into credential harvesting, with PowerShell processes renamed or masked to evade detection.

France showed a different but equally concerning profile. Detections pointed to large-scale cryptomining alongside enterprise post-exploitation tradecraft — specifically, credential dumping via NTDS and SAM copying, SMB-based lateral movement consistent with Impacket tooling, and in some cases ransomware-like write behaviors suggesting compromises moving toward destructive or extortion endpoints. The dual presence of opportunistic mining and intrusion-grade tooling in the same environment indicates that France was targeted both by commodity malware operators and by more deliberate threat actors pursuing higher-value outcomes.

The Netherlands presented a PowerShell-centric profile throughout 2025. Renamed PowerShell processes, heavy obfuscation via character- and byte-escape techniques, and encoded download-string activity were the dominant signals, reinforcing that fileless and near-fileless attack chains are not confined to higher-risk regions but are a standard approach across Western European environments.

Ransomware’s Structural Shift: Data over Encryption

Across EMEA and globally, 2025 confirmed an accelerating shift in ransomware tactics. Data exfiltration and public disclosure pressure are increasingly the primary coercive mechanism, with encryption becoming secondary or, in some campaigns, absent entirely. Qilin, the most prolific ransomware operator of the year by victim count, exemplified this model: double extortion, disciplined lateral movement, staged data exfiltration before payload execution and use of cross-platform ransomware capable of targeting both Windows and Linux environments. Cl0p went further, often forgoing encryption entirely in favour of mass-victim data theft events — a model that proved particularly effective in supply chain scenarios where a single vulnerable platform exposed hundreds of downstream organizations simultaneously.

For European enterprises, this tactical evolution has direct regulatory implications. Even where encryption is limited to provider infrastructure, data theft alone triggers notification obligations under the General Data Protection Regulation, contractual penalty clauses and, in regulated sectors, supervisory scrutiny. The blast radius of a successful attack on a managed service provider or software vendor serving European clients extends well beyond the directly compromised entity.

Phishing and the Collaboration Platform Problem

Email remained the primary attack channel throughout 2025, but its character changed. Phishing accounted for 83% of all email threats in the second half of the year. The volume of email-based attacks per organization increased by 16% year-on-year; attacks per individual user rose by 20%. Among managed service providers — a critical layer of the European IT ecosystem — phishing represented 52% of all identified initial access vectors.

The more significant shift was the sharp rise in attacks delivered through collaboration platforms. Advanced attacks via channels such as Microsoft Teams increased from 12% of the total in 2024 to 31% in 2025. The mechanism is well-documented: threat actors initiate contact through Teams‘ external chat functionality, impersonate IT support or helpdesk staff, escalate to voice calls or screen-sharing sessions and apply real-time social pressure to extract credentials, approve authentication requests or install remote access tools. The technique compresses the time from initial contact to validated network access, bypasses controls calibrated for email-borne threats and exploits the institutional trust that organizations place in internal communication platforms.

The so-called ClickFix technique — guiding victims through a sequence of ostensibly corrective steps that in fact execute malicious scripts — emerged as a recurring pattern across multiple sectors. By inducing users to initiate execution themselves, these attacks sidestepped controls designed to block known malicious binaries and shifted the problem toward preventing human-driven execution, a considerably harder challenge in large enterprise environments.

Remote monitoring and management tools, central to MSP operations across Europe, were systematically abused throughout the second half of 2025. Documented cases showed ransomware groups — including Qilin, Akira and DragonForce — using stolen credentials to access legitimate RMM consoles and deploy ransomware simultaneously across multiple managed endpoints, dramatically amplifying impact. In some incidents, attackers installed their own RMM agents post-compromise, effectively converting victim infrastructure into remotely managed assets under attacker control.

Artificial Intelligence: From Experiment to Operations

The report’s assessment of AI use by criminal actors is unambiguous. In 2025, artificial intelligence moved from opportunistic or experimental use into operational workflows. AI-assisted phishing campaigns became more contextually convincing, maintaining coherent multi-turn email threads and adapting messaging in ways that were previously unachievable at scale. Voice cloning and synthetic media were used in virtual kidnapping extortion schemes and executive impersonation attacks, enabling perpetrators to communicate with greater realism and sustain pressure more efficiently.

For European organizations, the practical consequence is that social engineering defences calibrated to detect poorly written or contextually implausible messages are no longer sufficient. The baseline capability of commodity phishing has been raised structurally and persistently.

Looking Toward 2026

The trajectory established in 2025 points toward several convergent risks for EMEA in the year ahead. Ransomware will continue to evolve away from encryption-led models toward data theft, regulatory pressure and business disruption as primary monetisation levers. MSPs — who concentrate administrative access across many client environments — remain the highest-leverage target: compromising a single MSP’s identity fabric or management tooling provides repeatable, high-scale access without the noise of endpoint-level intrusion.

Control-plane attacks on identity infrastructure, SaaS administration and non-human identities — service accounts, API keys, automation credentials — are expected to intensify. Supply chain compromise through trusted vendor integrations and RMM or PSA platform vulnerabilities will continue to provide attackers with scalable, low-visibility entry paths into European enterprise environments.

One additional development warrants attention from organizations in regulated European sectors. NIST finalised its first post-quantum cryptography standards in 2024, and the transition window toward deprecation of quantum-vulnerable algorithms runs to 2035. For MSPs and enterprises managing long-lived data, PKI infrastructure, VPN or zero-trust network access services, 2026 is the year when post-quantum planning moves from theoretical consideration to procurement and architecture decisions.

The consistent conclusion across all dimensions of the 2025 data is that cybercrime risk for European organizations is shaped less by any single malware family than by systemic properties: the concentration of privilege in provider layers, the speed at which AI-assisted social engineering can scale and the structural difficulty of governing an identity and control surface that has grown substantially more complex. Defensive investment that does not account for these systemic factors will leave organizations exposed regardless of how well individual technical controls perform.