Acronis Cyberthreats Update September 2025

Laut dem aktuellen Acronis Cyberthreats Update September 2025 ist die Anzahl der blockierten schädlichen URLs auf Endpunkten im August im Vergleich zum Juli um 20,6 Prozent gestiegen, insgesamt waren es mehr als 13,8 Millionen. Auch die Zahl der erkannten Malware-Angriffe stieg gegenüber dem Vormonat um 9,2 Prozent, während mehr als 490 Datenschutzverletzungen gemeldet wurden. In Deutschland lag der Anteil der Acronis-Nutzern mit erkannter Malware im August bei 5,8 Prozent und damit über dem globalen Durchschnitt von 5,3 Prozent. Die Schweiz war mit einem Anteil von 4,4 Prozent ähnlich stark betroffen wie im Juli (4,3 Prozent) und blieb jeweils unter dem globalen Durchschnitt.

Das Acronis Cyberthreats Update stellt monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der Acronis Threat Research Unit (TRU) zur Verfügung, damit Unternehmen und Privatpersonen sich vor den sich ständig weiterentwickelnden Sicherheitsherausforderungen schützen können. Dabei blockierten Acronis-Lösungen mehr als 13,8 Millionen schädliche URLs, was einem deutlichen Anstieg um 20,6 Prozent gegenüber dem Vormonat (11,4 Millionen) entspricht. Auch der Anteil erkannter Malware auf Endpunkten nahm im Vergleich zum Juli zu; um 9,2 Prozent auf über 520.000 Aktivitäten im August.

Besonders aktiv waren die Malware-Varianten Lumma, Agent Tesla und XWorm. Im Bereich Ransomware traten vor allem die Gruppen Quilin (87 bekannte Angriffe), Akira (56) und Warlock (31) in Erscheinung. Zudem waren Nutzern weltweit mit Datenschutzverletzungen konfrontiert; mit mehr als 490 gemeldeten Fällen jedoch etwas weniger als im Vormonat (515).

Vorfälle des Monats

Malware-Entwickler haben den Claude Code von Anthropic – einen KI-gestützten Programmierassistenten – missbraucht, um fortschrittliche Ransomware-as-a-Service-Kits (RaaS) zu erstellen. Ein in Großbritannien ansässiger Akteur mit der Bezeichnung GTG-5004 stützte sich fast ausschließlich auf den Claude Code, um eine ausgeklügelte Ransomware-Plattform zu entwickeln. Die KI-generierten modularen Ransomware-Komponenten verfügen über ChaCha20-Stream-Verschlüsselung und RSA-basierte Schlüsselverwaltung sowie Funktionen zum Anvisieren bestimmter Dateien, Verschlüsseln von Netzwerkfreigaben und Löschen von Windows-Schattenkopien.

Zur Umgehung von Schutzmaßnahmen verwendete die von Claude generierte Malware ausgefeilte Techniken wie reflektierende DLL-Injektion, Syscall-Aufruf, API-Hooking-Umgehung, String-Verschleierung und Anti-Debugging – was auf fortschrittliche Verschleierungsfähigkeiten hindeutet, die durch KI-Unterstützung ermöglicht werden.

Weitere Erkenntnisse

• Insgesamt wurde Malware im August bei 5,3 Prozent der Acronis-Kunden blockiert.
• In Deutschland lag die Malware-Erkennungsrate im August mit 5,8 Prozent über dem weltweiten Durchschnitt; die Schweiz kam hingegen auf einen Wert von 4,4 Prozent.
• Am häufigsten wurde Malware in Peru, Indien und Bulgarien erkannt und blockiert.

„Die Analyse für August zeigt einen deutlichen Anstieg schädlicher URLs“, kommentiert Markus Fritz, General Manager DACH bei Acronis. „Solche Entwicklungen verdeutlichen die Notwendigkeit ganzheitlicher Schutzmechanismen vor bekannten und unbekannten Bedrohungen. Acronis Cyber Protect Cloud schützt Unternehmen mit einem mehrschichtigen Ansatz, der verhaltensbasierte Erkennung, KI-gestützte Methoden und Anti-Ransomware-Heuristiken kombiniert.“

Tipps zum Schutz vor aktuellen Bedrohungen 

• Regelmäßig Passwörter ändern.
• Einen verschlüsselten Cloud-Storage für vertrauliche Dateien nutzen.
• Eine robuste Sicherheitslösung wie Acronis Cyber Protect Cloud nutzen, die einen umfassenden Schutz durch verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken bietet.
• Automatisierte Wiederherstellung von verschlüsselten oder manipulierten Dateien durch Acronis Cyber Protect Cloud einführen.
• Advanced Email Security und URL-Filterung nutzen, die zusätzlichen Schutz vor Bedrohungen wie Phishing und anderen Social-Engineering-Techniken bieten.
• Patch-Management nutzen, um Software stets auf dem neuesten Stand zu halten.
• Signierte Installationsdateien nicht nur auf ihre Signatur, sondern auch auf enthaltene Konfigurationsdaten zu prüfen
• Fernzugriffssoftware kritisch überprüfen und Nutzung auf das notwendige Maß beschränken.

Schutz

Die oben genannten Bedrohungen können mit Lösungen von Acronis erkannt und abgewehrt werden.

Acronis Cyber Protect Cloud schützt durch einen mehrschichtigen Schutzansatz sowohl vor bekannten als auch vor bisher unbekannten Bedrohungen. Dazu gehören verhaltensbasierte Erkennung, KI- und ML-gestützte Erkennung sowie Anti-Ransomware-Heuristiken, die Verschlüsselungsversuche erkennen und blockieren und manipulierte Dateien automatisch und ohne Benutzereingriff zurücksetzen können.

Zusätzliche E-Mail-Sicherheit und URL-Filterung können Ihnen helfen, sich vor Social-Engineering-Bedrohungen zu schützen. Und Ihr Acronis #CyberFit-Score hilft Ihnen, Systeme, die Aufmerksamkeit erfordern, schnell zu identifizieren, während das integrierte Patch-Management die Aktualisierung Ihrer Software auf die neuesten Versionen vereinfacht.

Acronis XDR für Acronis Cyber Protect Cloud bietet die erforderliche Transparenz, um Angriffe zu verstehen, vereinfacht gleichzeitig den Kontext für Administratoren und ermöglicht eine effiziente Behebung von Bedrohungen.

According to the Acronis Cyberthreats Update for September 2025, the number of malicious URLs blocked on endpoints increased by 20.6% in August compared to July, totaling over 13.8 million. The number of detected malware attacks increased by 9.2 percent compared to the previous month, and more than 490 data breaches were reported. In Germany, 5.8 percent of Acronis users had malware detected in August, which is above the global average of 5.3 percent. Switzerland was similarly affected, with a rate of 4.4 percent, similar to July’s rate of 4.3 percent, and remaining below the global average.

The Acronis Cyberthreats Update provides monthly insights into the threat landscape and assessments from the experts at the Acronis Threat Research Unit (TRU). This information enables businesses and individuals to protect themselves against ever-evolving security challenges. Acronis solutions blocked over 13.8 million malicious URLs, a significant increase of 20.6 percent compared to July (11.4 million). The proportion of malware detected on endpoints increased by 9.2 percent in August, reaching over 520,000 activities.

The malware variants Lumma, Agent Tesla, and XWorm were particularly active. In the area of ransomware, Quilin (87 known attacks), Akira (56), and Warlock (31) were the most prominent groups. Additionally, users worldwide experienced data breaches, with over 490 reported cases — slightly fewer than the previous month (515).

Incidents of the Month:

Malware developers misused Anthropic’s Claude code, an AI-powered programming assistant, to create advanced ransomware-as-a-service (RaaS) kits. A UK-based actor, identified as GTG-5004, relied almost exclusively on Claude to develop an advanced ransomware platform. The AI-generated, modular ransomware components feature ChaCha20 stream encryption and RSA-based key management, as well as functions for targeting specific files, encrypting network shares, and deleting Windows shadow copies.

To bypass protective measures, malware generated by Claude uses sophisticated techniques, such as reflective DLL injection, syscall invocation, API hooking bypass, string obfuscation, and anti-debugging, indicating advanced obfuscation capabilities enabled by AI support.

Further insights:

• Overall, malware was blocked for 5.3 percent of Acronis customers in August.
• Germany’s malware detection rate in August was 5.8%, above the global average. Switzerland’s rate, on the other hand, was 4.4%.
• Malware was most frequently detected and blocked in Peru, India, and Bulgaria.

„The analysis for August shows a significant increase in malicious URLs,“ said Markus Fritz, Acronis’s DACH General Manager. „These developments underscore the importance of robust protection mechanisms against both known and unknown threats. Acronis Cyber Protect Cloud safeguards businesses with a multi-layered approach combining behavior-based detection, AI-driven methods, and anti-ransomware heuristics.”

Tips for protecting against current threats:

• Regularly change passwords.
• Use encrypted cloud storage for confidential files.
• Use a robust security solution like Acronis Cyber Protect Cloud, which offers comprehensive protection through behavior-based, AI-, and ML-based detections, as well as anti-ransomware heuristics.
• Introduce automated recovery of encrypted or manipulated files thru Acronis Cyber Protect Cloud.
• Use Advanced Email Security and URL filtering, which provide additional protection against threats such as phishing and other social engineering techniques.
• Use patch management to keep software up to date.
• Not only check signed installation files for their signature but also for the configuration data they contain.
• Critically review remote access software and limit its use to the necessary extent.

Protection

The aforementioned threats can be detected and mitigated with Acronis solutions.

Acronis Cyber Protect Cloud protects against both known and previously unknown threats thru a multi-layered protection approach. This includes behavior-based detection, AI and ML-supported detection, as well as anti-ransomware heuristics that can detect and block encryption attempts and automatically reset manipulated files without user intervention.

Additional email security and URL filtering can help protect you from social engineering threats. And your Acronis #CyberFit score helps you quickly identify systems that require attention, while the integrated patch management simplifies updating your software to the latest versions.
Acronis XDR for Acronis Cyber Protect Cloud provides the necessary transparency to understand attacks, while simultaneously simplifying the context for administrators and enabling efficient threat remediation.