Wie der Angriff tatsächlich ankommt
Am 3. Juli 2026 legten die Forscher Nevan Beal und Sam Decker von Blackpoint Cyber gemeinsam mit Palo Alto Networks Unit 42 ein bislang unbekanntes modulares Framework offen, das sie Avalon nannten. Es kommt nicht als offensichtlicher Anhang. Die Kette beginnt mit einer gefälschten E-Mail zu einem angeblichen Rechtsdokument, die den Empfänger auf ein passwortgeschütztes Archiv bei Proton Drive lenkt, und der Schadcode steckt in einem ISO-Abbild statt in einer Datei, die das Mail-Gateway prüfen würde.
Das Öffnen des Abbilds bindet es wie ein Laufwerk ein, und eine als Dokument getarnte Windows-Verknüpfung darin startet MSBuild, ein vertrauenswürdiges Microsoft-Werkzeug, um eingebetteten Code zu laden. Dieser manipuliert zuerst die Windows-Protokollierung und lädt dann Avalon nach. Fast alles läuft im Arbeitsspeicher und hinterlässt kaum Spuren auf der Festplatte. Die Probe wurde am 11. März 2026 bei VirusTotal hochgeladen und blieb rund vier Monate ohne eine einzige Erkennung.
Zuerst zielt es auf die Wiederherstellung
Was Avalon von gewöhnlicher Ransomware trennt, ist die Reihenfolge. Vor jeder Verschlüsselung sammelt das Framework Zugangsdaten aus Browsern, Passwortspeichern sowie VPN-, SSH- und WLAN-Profilen und bewegt sich dann seitwärts zu genau den Systemen, die eine Wiederherstellung ermöglichen würden: Domänencontroller, Virtualisierungshosts wie vCenter und Hyper-V sowie Backup-Plattformen wie Veeam, Acronis, NetApp und Synology. Unterwegs löscht es die Windows-Schattenkopien.
Erst wenn die Wiederherstellungsebene ausgeschaltet ist, verschlüsselt das CrownX-Modul die Dateien mit authentifizierter AES-GCM-Kryptografie. Das Framework bringt zudem eigene Routinen mit, um sich vor neun namentlich genannten Produkten zu verstecken: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee und Bitdefender. Die unbequeme These ist nicht, dass es wieder eine Ransomware gibt; sie ist, dass diese darauf gebaut ist, die Standardantwort, wir stellen einfach wieder her, schon vor Beginn der Verschlüsselung unwahr zu machen.
Was sich für einen Betreiber ändert
Die praktische Lehre hängt nicht davon ab, welche Endpoint-Marke Sie einsetzen. Wenn ein Baukasten eigens dafür gebaut ist, neun davon zu blenden und die Backups zuerst zu löschen, wird Erkennung zu einer Schicht statt zur Garantie, und der Schutz, der weiter wirkt, ist eine Sicherungskopie, an die der Angreifer nicht herankommt. Das bedeutet mindestens eine unveränderliche oder getrennte Kopie, die auch ein kompromittierter Domänenadministrator nicht löschen kann, und eine Wiederherstellung, die Sie in diesem Quartal tatsächlich getestet und nicht nur angenommen haben.
Zwei Punkte erhöhen den Einsatz für europäische Betreiber. Drei der neun umgangenen Produkte, Sophos, ESET und Bitdefender, sind europäische Größen, sodass ein großer Teil der Region genau die Werkzeuge nutzt, gegen die dieser Baukasten getrimmt wurde. Und die Forscher sehen Anzeichen KI-gestützter Entwicklung, was Zeit und Können senkt, die eine Gruppe für so etwas Vielschichtiges braucht, sodass mehr davon kommt. Nach NIS2 liegt die Verantwortung für den Umgang damit bei der benannten Geschäftsleitung, nicht nur beim Sicherheitsteam.
Weiterlesen: Ein einziger Lieferanten-Hack verursachte die Hälfte der Ransomware-Opfer in Europa | Jailbreak-Risiko hat jetzt eine Schweregrad-Note



