Autore: Alexander Ivanyuk, Senior Director, Technology
Incidente del mese
Nel febbraio 2026, Google Threat Intelligence Group (GTIG), la società di cyber security Mandiant e i loro partner hanno comunicato di aver fermato una campagna globale di spionaggio informatico attribuita a un gruppo legato alla Cina e denominato UNC2814, che avrebbe colpito provider di servizi di telecomunicazioni e reti governative. Si ritiene che il gruppo fosse attivo almeno dal 2023 e che abbia colpito 53 organizzazioni in 42 paesi; c'è il sospetto che siano stati coinvolti almeno altri 20 paesi.
Una delle principali funzionalità dell'operazione era una nuova backdoor scritta in C, GRIDTIDE, in grado di sfruttare l'API di Google Sheets per le operazioni di comando e controllo (C2). Autenticandosi tramite un account di servizio Google e utilizzando le celle del foglio di calcolo come canale di comunicazione per trasferire attività e dati, il malware avrebbe mascherato il traffico dell'attaccante come legittima attività SaaS, supportando al contempo il riconoscimento del sistema, l'esecuzione remota dei comandi e il caricamento/scaricamento di file.
Le contromisure adottate hanno previsto la chiusura dei progetti Google Cloud controllati dagli hacker, la revoca dell'accesso all'API di Google Sheets e il sinkholing dei domini, oltre all'invio delle notifiche direttamente alle organizzazioni colpite e al supporto delle attività di bonifica. L'incidente ha evidenziato una tendenza persistente nelle intrusioni sponsorizzate dagli stati: spostare i flussi di lavoro di comando e controllo e degli operatori verso servizi cloud affidabili, per ridurre il rilevamento e ostacolare il monitoraggio su rete.
Rilevamenti di minacce malware di febbraio
La tabella seguente mostra la percentuale di singoli clienti di Acronis che hanno avuto almeno una minaccia di malware bloccata all'endpoint. A febbraio 2026, la percentuale è leggermente aumentata al 4,2%, con un incremento mensile di 0,5 punti percentuali rispetto a gennaio 2026.
Rispetto ai livelli di metà 2025, febbraio 2026 rimane significativamente più basso, con l'esposizione al malware che colpisce circa il 30% in meno di clienti rispetto a giugno 2025.
A febbraio, i tre paesi più frequentemente attaccati o con pratiche di sicurezza informatica meno efficaci sono rimasti invariati: la Palestina ha registrato la percentuale di rilevamento di malware più alta a livello globale, con il 52,5% dei singoli utenti ad aver sperimentato almeno un rilevamento di malware, il che indica un livello eccezionalmente alto di esposizione alle minacce. Lo Sri Lanka (19,7%) e il Bangladesh (13,7%) seguono a una notevole distanza, evidenziando un netto calo dopo il paese al primo posto e una distribuzione geografica molto disomogenea dell'attività di malware.
A febbraio 2026, nella maggior parte dei paesi si è registrato un calo o una stabilizzazione rispetto a gennaio. I cali più significativi sono stati registrati a Singapore (dal 9,7% al 6,5%, ~33% in meno), Canada (dal 12,3% al 9,3%, ~24% in meno) e Stati Uniti (dal 10,5% al 9,0%, ~14% in meno), con ulteriori modeste diminuzioni in Germania, Corea del Sud, Francia, Giappone, Messico e Regno Unito. Il Brasile è rimasto sostanzialmente stabile (dall'8,6% all'8,7%) e l'Australia è rimasta invariata (dal 6,6% al 6,6%), il che suggerisce livelli di esposizione costanti o una copertura del rilevamento omogenea di mese in mese.
Sempre a febbraio, è stato segnalato un netto incremento su numerosi mercati, il che indica una maggiore pressione a livello locale, e non un miglioramento globale uniforme. Gli aumenti più notevoli si sono registrati in Italia (dall'8,2% al 9,5%, ~16% in più), Colombia (dall'8,4% al 9,7%, ~15% in più), Nuova Zelanda (dal 6,1% al 7,3%, ~20% in più) e India (dall'8,9% al 10%, ~12% in più). Lieve aumento anche nei Paesi Bassi (dall'8,5% all'8,9%). In generale, il modello sembra mostrare uno "spostamento" geografico del rischio; le percentuali complessive sono scese in diversi grandi mercati, mentre un contenuto numero di paesi ha fatto registrare un netto aumento. È bene verificare se ciò rifletta autentici cambiamenti nelle attività delle minacce, nei destinatari delle campagne o differenze di copertura della telemetria/del rilevamento in tali aree geografiche.
Protezione
Le minacce sopracitate possono essere rilevate e mitigate con le soluzioni di Acronis.
Acronis Cyber Protect Cloud offre protezione sia dalle minacce note che da quelle mai viste prima, grazie a un approccio a più livelli che prevede il rilevamento basato sul comportamento, i rilevamenti addestrati con AI/ML e le euristiche anti-ransomware, in grado di rilevare e bloccare tentativi di crittografia ed eseguire un rollback di qualsiasi file manomesso automaticamente, senza alcuna interazione dell'utente.
La sicurezza delle e-mail e il filtraggio degli URL facilitano la protezione dalle minacce di social engineering. Il #CyberFit Score di Acronis ti aiuta a individuare rapidamente i sistemi che necessitano di intervento, mentre la gestione delle patch integrata semplifica l'aggiornamento del software alle versioni più recenti.
Acronis XDR per Acronis Cyber Protect Cloud fornisce la visibilità necessaria a capire gli attacchi, rende più chiaro il contesto agli amministratori e fornisce misure di correzione efficienti per qualsiasi minaccia.