Autor: Alexander Ivanyuk – Senior Director, Technology
Der wichtigste Vorfall des Monats
Im Februar 2026 gaben die Google Threat Intelligence Group (GTIG) und das zu Google gehörende Cybersicherheitsunternehmen Mandiant gemeinsam mit weiteren Partnern bekannt, dass eine weltweite Cyber-Spionagekampagne zerschlagen wurde. Diese wurde einer mutmaßlich mit China in Verbindung stehenden Gruppe mit der Bezeichnung „UNC2814” zugeschrieben und zielte auf Telekommunikationsanbieter sowie Regierungsnetzwerke ab. Die Aktivitäten dauerten mindestens seit 2023 an und betrafen 53 Unternehmen in 42 Ländern, wobei in mindestens 20 weiteren Ländern Infektionen vermutet wurden.
Eine zentrale Komponente der Kampagne war eine neu entdeckte, C-basierte Backdoor namens GRIDTIDE, mit der die Google Sheets-API für Command-&-Control-Zwecke (C2) missbraucht werden konnte. Durch die Authentifizierung über ein Google Dienstkonto und die Nutzung von Tabellenzellen als Kanal für Aufgaben und Daten gelang es der Malware, den Datenverkehr der Cyberkriminellen in legitime SaaS-Aktivitäten einzubinden. Gleichzeitig ermöglichte sie die Erkundung des Systems, die Ausführung von Remote-Befehlen sowie den Up- und Download von Dateien.
Zu den Gegenmaßnahmen gehörten die Beendigung der von den Cyberkriminellen kontrollierten Google Cloud-Projekte, der Entzug des Zugriffs auf die Google Sheets-API sowie DNS-Sinkholes. Die betroffenen Unternehmen wurden direkt benachrichtigt und bei der Behebung unterstützt. Dieser Vorfall verdeutlicht einen anhaltenden Trend bei staatlich gesteuerten Cyberangriffen: Um der Erkennung zu entgehen und die netzwerkbasierte Überwachung zu erschweren, werden C2-Systeme und Operator-Workflows in vertrauenswürdige Cloud-Dienste verlagert.
Erkannte Malware-Bedrohungen im Februar
Die folgende Tabelle zeigt den Prozentsatz der Acronis Kund:innen, bei denen mindestens einmal eine Malware-Bedrohung auf dem Endpunkt blockiert wurde. Im Februar 2026 stieg dieser Prozentsatz leicht auf 4,2 % an. Dies entspricht einem Anstieg von 0,5 Prozentpunkten gegenüber Januar 2026.
Im Vergleich zur Situation Mitte 2025 ist die aktuelle Prozentzahl weiterhin niedriger: So waren im Februar 2026 rund 30 % weniger Benutzer:innen von Malware betroffen als im Juni 2025.
Auch im Februar waren es dieselben drei Länder, die am häufigsten angegriffen wurden oder eine schlechte Cyberhygiene aufwiesen. In Palästina wurde bei 52,5 % der eindeutigen Benutzer:innen mindestens einmal Malware erkannt. Dies deutet auf eine außergewöhnlich hohe Gefährdung hin und stellt die weltweit höchste Malware-Erkennungsrate dar. Mit deutlichem Abstand folgten Sri Lanka mit 19,7 % und Bangladesch mit 13,7 %, was die sehr ungleiche geografische Verteilung der Malware-Aktivitäten verdeutlicht.
Im Februar 2026 war in den meisten Ländern im Vergleich zum Vormonat ein allgemeiner Rückgang oder eine Stabilisierung zu verzeichnen. Die stärksten Rückgänge gab es in Singapur (von 9,7 % auf 6,5 %, ein Rückgang von ca. 33 %), Kanada (von 12,3 % auf 9,3 %, ein Rückgang von ca. 24 %) und den Vereinigten Staaten (von 10,5 % auf 9,0 %, ein Rückgang von ca. 14 %). In Deutschland, Südkorea, Frankreich, Japan, Mexiko und dem Vereinigten Königreich wurden weitere leichte Rückgänge beobachtet. In Brasilien blieb die Rate mit 8,6 % bzw. 8,7 % im Wesentlichen unverändert, während sie in Australien bei 6,6 % konstant blieb. Dies deutet entweder auf ein stabiles Expositionsniveau oder eine konsistente Erfassungsrate von Monat zu Monat hin.
Gleichzeitig verzeichneten mehrere Länder im Februar einen deutlichen Anstieg, was eher auf eine Zunahme der lokalen Angriffe als auf eine allgemeine weltweite Verbesserung der Bedrohungslage hindeutet. Die deutlichsten Anstiege waren in Italien (von 8,2 % auf 9,5 %, ein Anstieg von ca. 16 %), Kolumbien (von 8,4 % auf 9,7 %, ein Anstieg von ca. 15 %), Neuseeland (von 6,1 % auf 7,3 %, ein Anstieg von ca. 20 %) und Indien (von 8,9 % auf 10 %, ein Anstieg von ca. 12 %) zu verzeichnen. Auch die Niederlande verzeichneten einen leichten Anstieg (von 8,5 % auf 8,9 %). Betrachtet man die Situation allgemein, so scheint sich das Risiko geografisch zu „verlagern“. Während die Erkennungsraten in mehreren großen Ländern insgesamt zurückgegangen sind, waren in einigen wenigen anderen Ländern deutliche Anstiege zu verzeichnen. Es lohnt sich zu prüfen, ob diese Entwicklung auf tatsächliche Veränderungen bei den Bedrohungsaktivitäten oder der Ausrichtung von Kampagnen zurückzuführen ist oder ob sie auf Unterschiede bei der Telemetrie- bzw. Erfassungsabdeckung in diesen Regionen beruht.
Schutz
Die Bedrohungen können mit den Lösungen von Acronis erkannt und abgewehrt werden.
Acronis Cyber Protect Cloud schützt mit einem mehrschichtigen Sicherheitsansatz sowohl vor bekannten als auch vor völlig neuen Bedrohungen. Dieser Ansatz umfasst verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken, die Verschlüsselungsversuche erkennen und blockieren können. Werden dennoch Dateien manipuliert, so können diese automatisch und ohne Benutzereingriff zurückgesetzt werden.
Email Security und URL-Filterung bieten zusätzlichen Schutz vor Social-Engineering-Bedrohungen. Darüber hinaus können Sie mit Ihrem Acronis #CyberFit-Score Systeme, die Ihre Aufmerksamkeit erfordern, schnell identifizieren, während die integrierte Patch-Verwaltung es Ihnen ermöglicht, Ihre Software auf einfache Weise auf den neuesten Stand zu halten.
Acronis XDR für Acronis Cyber Protect Cloud bietet die nötige Transparenz, um Angriffe besser zu verstehen. Die Lösung stellt Administrator:innen verständliche Kontextinformationen zur Verfügung und ermöglicht eine effiziente Behebung aller Arten von Bedrohungen.