Nová hackerská skupina se za půl roku dostala do top 10 světa. Nejlepší zabezpečení zdolá za pár hodin
Obsah článku
Na konci června 2026 publikoval Kaspersky rozsáhlou technickou analýzu skupiny, kterou Microsoft sleduje pod interním označením Storm-2697. Čísla mluví jasně: podle GuidePoint Security měla skupina ve čtvrtém čtvrtletí 2025 pouhých 35 zveřejněných obětí. V prvním čtvrtletí 2026 jich bylo 182. HACKURITY ji za stejné období řadí na druhé místo globálně se 186 oběťmi, NCC Group v dubnu 2026 počítá deset procent všech zaznamenaných ransomwarových listingů. Z okrajového hráče se během měsíců stal průmyslový podnik na vyděračský software, a české firmy nejsou mimo jeho dosah.
Co přesně znamená „top 10″ a „pár hodin“
Top 10 světa neznamená žebříček technické geniality. Jde o pořadí podle počtu obětí, jejichž data skupina zveřejnila na vlastním leak site. Kaspersky píše „mezi deseti nejaktivnějšími“ za první pololetí 2026; jiné datasety ji v užších časových oknech staví ještě výš.
Pár hodin je interval mezi okamžikem, kdy útočník už má přístup do sítě, a nasazením ransomwaru. Neznamená to, že skupina za pár hodin prolomí perimetr z internetu. V řadě případů si vstupní bod koupila od specializovaného zprostředkovatele, takzvaného initial access brokera, a samotný průnik mohl proběhnout dny nebo týdny předtím.
Nejlepší zabezpečení v praxi znamená velké firmy s enterprise VPN branami, hardwarovými firewally a komerčními bezpečnostními produkty. Skupina cílí na konkrétní třídu zařízení vystavených do internetu (FortiGate, FortiProxy, SonicWall VPN, Cisco ASA) a po vstupu systematicky vypíná ochranný software včetně Windows Defenderu i komerčních EDR řešení.
Proč je tak rychlá: průmyslová dělba práce
The Gentlemen fungují jako ransomware-as-a-service platforma. Jádro skupiny vyvíjí nástroje a infrastrukturu, samotné útoky realizují afiliáti, najímaní přes fórum BreachForums, kam skupina láká penetrační testery i zprostředkovatele přístupů. ESET uvádí, že afiliát si nechává devadesát procent výkupného. To je extrémně štědrý podíl, který vysvětluje rychlý nábor.
Jakmile má útočník přístup, rozjede se dobře nacvičený scénář:
- Rekognoskace přes nástroje jako SharpADWS, NetScan nebo Advanced IP Scanner, tedy mapování doménové struktury a síťových segmentů.
- Laterální pohyb paralelně několika cestami: PsExec, WMI, naplánované úlohy, PowerShell remoting, vlastní služby.
- Vypnutí ochran technikou BYOVD: útočník nahraje legitimně podepsaný, ale zranitelný ovladač, který mu otevře přístup na úroveň jádra systému. Odtud dokáže ukončit procesy bezpečnostních produktů. ESET popsal nejméně osm variant nástroje GentleKiller a upozornil, že skupina dokáže nový proof-of-concept zneužít během dnů od jeho zveřejnění.
- Šifrování buď Go variantou (Curve25519 + XChaCha20, moderní, rychlá, multiplatformní), nebo novější C variantou pro Windows (AES256-GCM + RSA).
Výsledek: obránci mají mezi prvním varovným signálem a plošným šifrováním extrémně krátké reakční okno.
Český rozměr: nejde o abstraktní zahraniční problém
Ve veřejných agregacích dat z leak site se u The Gentlemen objevují i české subjekty, podle dat Breach House mimo jiné VŠFS, Economia, Kabelovna Kabex nebo Orlík Compressors. Jde o listingy, které skupina sama zveřejnila; nezávislé potvrzení od obětí nebo českých úřadů veřejně dostupné není. Přesto je signál jednoznačný: Česko není mimo radar.
A hlavně, třída zařízení, přes kterou skupina vstupuje, je v tuzemských firmách běžná. NÚKIB opakovaně varoval před zneužíváním zranitelností v produktech Ivanti, Fortinet i Cisco a v roce 2024 řešil konkrétní incidenty spojené právě s edge zařízeními v českém prostředí. FortiGuard eviduje kritickou, aktivně zneužívanou zranitelnost FortiOS/FortiProxy zasahující verze 7.0.0 až 7.0.16.
Co zkontrolovat hned ráno
Žádný jednotlivý produkt útok The Gentlemen spolehlivě nezastaví. Kaspersky sice popisuje případ, kdy pokus o odinstalaci jejich řešení skupina nezvládla, ale stejné reporty ukazují, že jiné ochrany padly během minut. Funguje jen vrstvená obrana:
- Záplaty edge zařízení (FortiGate, Ivanti Connect Secure, SonicWall, Cisco ASA). Priorita číslo jedna.
- MFA všude, zejména na VPN a administrátorských rozhraních, která nesmí být vystavena do internetu.
- Segmentace sítě, tedy omezení laterálního pohybu přes SMB, WMI a PsExec.
- Monitoring varovných signálů: na Fortinet zařízeních logy typu
ui="jsconsole"a neočekávané vytvoření super-admin účtu; ve Windows přítomnostC:\Temp\psexec.exe, skryté sdílené složkyshare$, naplánované úlohyDefUneboUpdateGUa plošné výjimky v Defenderu. - Offline a neměnné zálohy, poslední záchranná síť, když všechno ostatní selže.
Skutečná hrozba The Gentlemen není v tom, že by disponovali nějakou dosud nevídanou zbraní. Je v tom, jak drasticky zkracují čas, který obránci mají na reakci. Firma, která si myslí, že ji chrání samotná přítomnost firewallu a antiviru, zjistí opak ve chvíli, kdy už bude pozdě.