Aktuelle Nachrichten
07. Juli 2026 | Text: Markus Selinger | Antivirus für Windows
Cyberattacke: Windows-Automatisierungs-Tool bringt Ransomware und Infostealer
Das Erkennen von Malware, wie Ransomware oder Infostealer, ist ein erster Schritt – aber das Abwehren ein zweiter. Besonders, wenn Angreifer auch noch legale Windows-Tools, wie etwa AutoIt für ihre Zwecke missbrauchen. Was passiert, wenn eine Schutzlösung die Angreifer nicht erkennt oder trotz Erkennung nicht aufhalten kann? Genau diese Fragen klärt der Advanced Threat Protection-Test – kurz ATP-Test. Die Untersuchung prüft in 10 Szenarien, ob eine Schutzlösung ihr ganzes Arsenal an weiteren Schutzwerkzeugen auch in der Praxis nutzt und wie versprochen schützt. Klappt das nicht, ist der Angriff der Ransomware oder des Infostealers erfolgreich. Aber: der Test zeigt, dass die Schutzlösungen ihr Handwerk beherrschen.
Ransomware und Infostealer greifen Windows 11 an
17 Schutzpakete für Endanwender und Unternehmen zeigen im ATP-Test, wie gut sie die gefährlichen Angreifer abwehren
Selbst für Experten ist es schwierig, bei den vielen Hackergruppen den Überblick zu behalten. Ständig etablieren sich neue Gruppen, die ihre Infrastruktur im Rahmen von Ransomware-as-a-Service (RaaS) sogar an sogenannte Affiliates (kriminelle Partner, die die Angriffe ausführen) vermieten. Das erhöht die Bedrohung im Internet erheblich. Natürlich gibt es solche Darknet-Services auch für Infostealer und andere Malware.
Egal, welche Hackergruppe angreift – etwa Qilin, Play, Cl0p, RansomHub oder Akira – sie alle nutzen die jeweils neuesten Angriffstechniken und -wege und verändern ihre Malware, oft mit Hilfe von KI. Auch der Advanced Threat Protection-Test passt sich nach jedem 2-monatigem Testzyklus an und übernimmt diese neuen Angriffstechniken für die Test-Malware.
Hohe Abwehrkraft gegen gefährliche Ransomware und Infostealer
Im März-April-ATP-Test stellen sich 17 Schutzlösungen den erweiterten Tests unter Windows 11. Mit dabei sind 8 Produkte für private Anwender von Avast, AVG, Bitdefender, ESET, K7 Computing, Kaspersky, McAfee und Norton. Bei den Unternehmensprodukten nehmen die 9 Lösungen folgender Hersteller teil: Acronis, Avast, Kaspersky (mit 2 Versionen), Microworld, Net Protector, Norton, Qualys und Trellix.
Der Advanced Threat Protection-Test ist klar strukturiert: Jede Schutzlösung muss auf einem Test-PC in 10 realen Szenarien bestehen, 5-mal gegen Ransomware und 5-mal gegen Infostealer. Dabei setzt das Labor verschiedene Angriffstechniken ein oder kombiniert sie. Das können zum Beispiel Injection-Angriffe sein, spezieller PowerShell-Code oder missbrauchte Tools, wie im aktuellen Test. Denn die Angreifer setzen aktuell oft auf automatisierte Angriffe mit dem Tool AutoIt. Daher spielt es in diesem Test eine besondere Rolle:
AutoIt: ist ein beliebtes Windows-Tool, das eine BASIC-ähnliche Skriptsprache für Windows nutzt, um Abläufe zu automatisieren, etwa Klicks, Tastatureingaben, Fenstersteuerung und einfache Installations- oder Administrationsaufgaben. Man kann damit auch Skripte in EXE-Dateien kompilieren, sodass sie ohne zusätzliche AutoIt-Installation laufen.
Angreifer nutzen AutoIt, um maliziöse Skripte zu erstellen und zu verbreiten. Da das Tool bekannt und legal ist, fällt der Einsatz nicht sofort auf. In unseren Angriffen verwenden wir AutoIt-Skripte, die Shellcode-Loader implementieren, welche für die Entschlüsselung und Ausführung von schädlichem Code im Arbeitsspeicher zuständig sind. Diese Skripte werden entweder zusammen mit dem AutoIt-Interpreter verbreitet oder mithilfe von Aut2Exe zu ausführbaren Dateien kompiliert. Bei der Ausführung auf dem Zielsystem simuliert der AutoIt-basierte Loader das Verhalten von Ransomware oder Malware zum Diebstahl von Informationen.
Alle Produkte müssen in den 10 Szenarien die Angreifer abwehren. Wie gut sie das leisten, zeigen die Ergebnisgrafiken zu jedem Produkt am Ende des Artikels. Die weiteren Testtabellen geben Aufschluss darüber, wie viele Punkte die Lösungen für ihren Schutz-Score erhalten. Der Maximalwert liegt bei 35 Punkten. Für jede erkannte Ransomware gibt es bis zu 3 Punkte, für jeden Infostealer bis zu 4 Punkte. Bei Problemen in der Abwehr kann es zum Abzug von ganzen oder halben Punkten kommen.
Die 10 Testszenarien
Alle Angriffsszenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1566.001“, stehen in der MITRE-Datenbank für „Techniques“ unter „Phishing: Spearphishing Attachment“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen. Zusätzlich sind alle Angriffstechniken erklärt sowie die Art und Weise, wie die Malware dabei zum Zuge kommt.
ATP-Test mit 8 Schutzpaketen für Endanwender
Im aktuellen ATP-Test bestehen 7 der 8 untersuchten Security-Pakete für Windows mit den Bestwerten. Sie erkennen in allen 10 Szenarien die Angreifer und lassen sich auch nicht durch neue Angriffstechniken in die Irre führen. Somit erhalten diese Pakete die vollen 35 Punkte: Avast, AVG, Bitdefender, K7 Computing, Kaspersky, McAfee und Norton.
Das einzige Produkt mit Problemen ist das Paket von ESET. Im Test kann es einen Infostealer weder erkennen noch mit anderen Mitteln aufhalten. Der Angreifer geht ungestört ans Werk und stiehlt die Daten. Somit stehen 4 Punkte zum Abzug.
In einem weiteren Fall mit einer Ransomware wird der Angreifer zwar erkannt, aber nicht komplett blockiert. Die Attacke wird dann teilweise durch weitere Abwehrmodule geblockt, aber am Ende gewinnt die Ransomware und das System ist verschlüsselt. Hier verliert ESET weitere 1,5 Punkte. Am Ende bleiben somit noch 29,5 Punkte von 35 möglichen.
Jedes Produkt, das im Test 75 Prozent der 35 Punkte (26,5 Punkte) im Schutz-Score erreicht und an den regelmäßigen Windows-Test-Reihen teilnimmt, erhält das AV-TEST-Zertifikat „Advanced Certified“. Alle Pakete für private Anwender erfüllen diese Vorgaben und erhalten das Zertifikat.
ATP-Test mit 9 Schutzlösungen für Unternehmen
Die Untersuchung der 9 Unternehmenslösungen im ATP-Test verläuft für viele Anbieter sehr zufriedenstellend. 8 Endpoint-Produkte für Office-PCs mit Windows 11 haben im Test keinerlei Schwierigkeiten in den 10 Szenarien und wehren alle Angreifer ab. Sie erhalten für diese Leistung die vollen 35 Punkte in ihrem Schutz-Score: Acronis, Avast, Kaspersky (für beide Versionen), Microworld, Norton, Qualys und Trellix.
Das Produkt von Net Protector scheitert im Test gleich an zwei Problemen. Während es alle 10 Angreifer sofort erkennt, kann es nur 8 davon isolieren. Einen Infostealer und eine Ransomware blockiert der Schutz nur teilweise, wodurch die Angriffe weiterlaufen. Auch zusätzliche Schutzmodule, die zum Einsatz kommen, halten die Angreifer nicht komplett auf. Am Ende sind die Daten durch die Ransomware verschlüsselt bzw. vom Infostealer gestohlen. Dadurch verliert Net Protector einmal 2,5 Punkte und einmal 2 Punkte. Somit bleiben für den Schutz-Score noch 30,5 von 35 Punkten.
Alle untersuchten Lösungen erfüllen die Vorgaben zum Erhalt des Test-Zertifikats „Advanced Approved Endpoint Protection“. Denn sie haben 75 Prozent der 35 Punkte (26,5 Punkte) im Schutz-Score erreicht und sie sind regelmäßiger Teilnehmer der regulären 2-monatigen Windows-Tests.
ATP-Test mit vielen Top-Ergebnissen
Der aktuelle ATP-Test belegt eine starke Entwicklungs- und Forschungsarbeit bei den Herstellern von Security-Produkten für private Anwender und für Unternehmen. 15 der 17 untersuchten Schutzpakete lassen sich auch nicht von neuesten Angriffstechniken oder veränderter Malware täuschen. Sie erkennen und beseitigen fehlerfrei alle Gefahren im Test.
Lediglich zwei Security-Pakete haben in Einzelfällen ihre Probleme. Aber bei Ransomware und Infostealern gibt es keinen Raum für Fehler. An dieser Stelle müssen die Anbieter nachbessern.




























