Författare: Alexander Ivanyuk – Senior Director, Technology
Månadens incident
I februari 2026 avslöjade Googles Threat Intelligence Group (GTIG), deras cybersäkerhetsföretag Mandiant och partners att en global cyberspionagekampanj hade avslöjats. Kampanjen tillskrivs en aktör med misstänkt koppling till Kina, som spårats under beteckningen UNC2814, och riktade sig mot telekomleverantörer och myndighetsnätverk. Aktiviteten bedömdes som pågående sedan åtminstone 2023, och påverkar 53 organisationer i 42 länder, med misstänkta infektioner i minst 20 till.
En nyckelfunktion i operationen var en nyligen observerad C-baserad bakdörr, GRIDTIDE, som utnyttjade Google Sheets API för kommando och kontroll (C2). Genom att autentisera via ett Google-tjänstkonto och använda kalkylbladsceller som kanal för styrning och data kunde skadeprogrammet smälta in angripartrafik i legitim SaaS-aktivitet, samtidigt som det möjliggjorde systemrekognosering och fjärrstyrd kommandokörning samt uppladdning och nedladdning av filer.
Åtgärdsinsatsen omfattade att stänga ner angriparkontrollerade Google Cloud-projekt, återkalla åtkomst till Google Sheets API och sinkhola domäner, samtidigt som berörda organisationer informerades direkt och fick stöd i saneringsarbetet. Incidenten understryker en ihållande trend hos statsanknutna intrångsgrupper: att flytta C2- och operatörsarbetsflöden till betrodda molntjänster för att minska upptäcktsrisken och försvåra nätverksbaserad övervakning.
Detekterad malware i februari
Tabellen nedan visar procentandelen unika Acronis-klienter som hade minst ett hot från skadlig programvara blockerat vid endpointen. I februari 2026 ökade andelen något till 4,2 %, vilket motsvarar en ökning med 0,5 procentenheter jämfört med januari 2026.
Jämfört med nivåerna i mitten av 2025 var siffrorna i februari 2026 fortsatt lägre, och antalet kunder som drabbades av skadlig programvara var ungefär 30 % färre än i juni 2025.
I februari förblev de tre länder som oftast utsattes för attacker eller uppvisade bristande cyberhygien oförändrade: Palestina noterade den högsta globala detektionsgraden för skadlig kod, där 52,5 % av unika användare drabbades av minst en upptäckt, vilket indikerar en exceptionellt hög nivå av hotexponering. Sri Lanka (19,7 %) och Bangladesh (13,7 %) följde på betydande avstånd, vilket understryker en kraftig nedgång efter det högst rankade landet och en mycket ojämn geografisk fördelning av skadlig kod-aktivitet.
I de flesta länder visade februari 2026 en bred nedgång eller stabilisering jämfört med januari. De största nedgångarna sågs i Singapore (från 9,7 % till 6,5 %, en minskning med cirka 33 %), Kanada (från 12,3 % till 9,3 %, en minskning med cirka 24 %) och USA (från 10,5 % till 9,0 %, en minskning med cirka 14 %), medan det skedde ytterligare måttliga minskningar i Tyskland, Sydkorea, Frankrike, Japan, Mexiko och Storbritannien. Brasilien var i stort sett oförändrat (8,6 % till 8,7 %) och Australien var oförändrat (6,6 % till 6,6 %), vilket tyder på antingen stabila exponeringsnivåer eller en jämn detekteringsgrad från månad till månad.
Samtidigt steg flera marknader markant i februari, vilket tyder på lokalt tryck snarare än en enhetlig global förbättring. De mest anmärkningsvärda ökningarna var i Italien (8,2% till 9,5%, ~16% högre), Colombia (8,4% till 9,7%, ~15% högre), Nya Zeeland (6,1% till 7,3%, ~20% högre) och Indien (8,9% till 10%, ~12% högre). Nederländerna ökade också något (8,5% till 8,9%). Generellt sett tyder utvecklingen på att risken ”förskjuts” geografiskt: De totala räntorna har sjunkit på flera stora marknader, medan en handfull länder uppvisade tydliga uppgångar. Det är värt att undersöka om detta återspeglar faktiska förändringar i hotbilden, kampanjernas inriktning eller skillnader i telemetri- och detekteringsomfattningen i dessa regioner.
Skydd
De ovan nämnda hoten kan upptäckas och motverkas med lösningar från Acronis.
Acronis Cyber Protect Cloud skyddar mot både kända och okända hot genom ett flerskiktat skydd. Detta inkluderar beteendebaserad detektering, AI- och ML-tränade detekteringar och heuristik mot ransomware, som kan upptäcka och blockera krypteringsförsök och automatiskt återställa manipulerade filer utan någon användarinteraktion.
Ytterligare e-postsäkerhet och URL-filtrering kan hjälpa dig att skydda dig mot hot från social manipulation. Och ditt Acronis #CyberFit-betyg hjälper dig att snabbt identifiera system som behöver uppmärksammas, medan integrerad patchhantering gör det enkelt att uppdatera din programvara till de senaste versionerna.
Acronis XDR för Acronis Cyber Protect Cloud ger den insyn som behövs för att förstå attacker samtidigt som det förenklar sammanhanget för administratörer och möjliggör effektiv hantering av alla hot.