Hackerská skupina útočí na nemocnice, banky i továrny. Antivirus se pokusí hrozbu zastavit, ale je bezradný
Ransomwarová skupina během roku 2026 zasáhla výrobní podniky, nemocnice, finanční firmy i logistické společnosti po celém světě. Bezpečnostní software ji zachytí, ale nezastaví.
Obsah článku
Hackeři The Gentlemen fungují jako profesionální servisní platforma pro kybernetické vyděrače. Jejich partneři, takzvaní affiliates, dostávají hotové nástroje: vlastní backdoor napsaný v jazyce Go, novou variantu šifrovacího ransomwaru v jazyce C a sadu technik pro vypínání bezpečnostních ochran. Útočníci míří na výrobu, IT služby, zdravotnictví, finanční sektor, stavebnictví a logistiku. Podle analýzy Kaspersky GReAT z konce června 2026 patří mezi nejvíce zasažené země Brazílie, Čína, Indonésie, Tchaj-wan a Thajsko, Microsoft ale zároveň potvrzuje útoky i v Evropě. Konkrétní jména obětí veřejné zprávy neuvádějí, známé jsou pouze zasažené sektory a regiony. Klíčové je, že útočníci necílí jen na data. Cílí na samotné obranné vrstvy. V jednom zdokumentovaném případě se pokusili odinstalovat bezpečnostní řešení Kaspersky pomocí nástroje kavrmvr.exe. Pokus byl zablokován. Jenže to je jen jeden krok v řetězci, který má desítky článků, a právě proto jedna antivirová vrstva sama o sobě nestačí.
Jak útok probíhá krok za krokem
Vstup do sítě bývá nenápadný. Útočníci zneužívají zranitelné služby vystavené do internetu (VPN brány, firewally nebo vzdálené plochy) nebo rovnou nakupují hotový přístup od takzvaných Initial Access Brokers. Podle Check Point Research, který analyzoval uniklé interní materiály skupiny, The Gentlemen pracují i s ukradenými přihlašovacími údaji z tržišť s daty získanými pomocí infostealer malwaru.
Jakmile jsou uvnitř, nastává průzkum. Používají nástroje jako SharpADWS, NetScan, Advanced IP Scanner nebo příkaz netsh trace k mapování sítě a hledání doménových administrátorů. Den před nasazením ransomwaru instalují Go backdoor maskovaný jako systémový proces sihost.exe. Ten sbírá informace o počítači (hostname, doménu nebo IP adresy) a navazuje šifrované spojení se serverem útočníků. Umí spouštět příkazy, otevřít proxy tunel a připravit půdu pro šifrování.
Pak přijde laterální šíření. A tady je jádro problému.
Jedna obranná vrstva nestačí
Microsoft Threat Intelligence ve své nezávislé analýze z května 2026 popsal, že The Gentlemen zkoušejí na každý cílový počítač v síti až 21 různých způsobů vzdáleného spuštění. Používají skupinové politiky Active Directory, PsExec, WMI, PowerShell Remoting i plánované úlohy ve Windows, a to paralelně. Když jedna cesta selže, zkusí další.
Stále aktivně rozbíjejí obranu:
- BYOVD (Bring Your Own Vulnerable Driver): nasadí legitimní, ale zranitelný ovladač, který jim získá přístup na úrovni jádra systému a umožní vypnout bezpečnostní procesy.
- Vypnutí Windows Defenderu: přes PowerShell a úpravy registrů deaktivují vestavěnou ochranu.
- Mazání záloh: odstraňují stínové kopie a čistí systémové logy, aby znemožnili obnovu i forenzní analýzu.
- Pokus o odstranění Kaspersky: nástroj kavrmvr.exe se pokouší odinstalovat bezpečnostní řešení přímo z koncového zařízení.
Skutečný problém tedy není „slabý antivirus“. Problémem je útok vedený systematicky proti obraně samotné, vrstvu po vrstvě a kanál po kanálu.
Jak nebezpečná skupina ve skutečnosti je
The Gentlemen patří mezi nejrychleji rostoucí ransomwarové operace současnosti. Kaspersky ji řadí mezi deset skupin s nejvyšším počtem oznámených obětí v první polovině roku 2026. Check Point ji na základě veřejných únikových stránek popisuje jako druhou nejaktivnější operaci RaaS v prvních pěti měsících roku. Affiliate model nabízí partnerům 90 % z výkupného, což je mimořádně vysoký podíl, který přitahuje zkušené operátory z jiných skupin.
Skupina navíc průběžně vyvíjí nové nástroje. Vedle zavedeného ransomwaru napsaného v jazyce Go testuje novou variantu v jazyce C, která byla zatím nasazena jen u omezeného počtu obětí. Kaspersky ji popisuje jako vývojovou verzi; útočníci ji zjevně testují v reálném prostředí, protože živé podnikové sítě jim poskytují zpětnou vazbu, kterou laboratorní prostředí nedokáže plně simulovat.
Český kontext: riziko není teoretické
Veřejně potvrzený útok skupiny The Gentlemen v České republice se zatím nepodařilo dohledat. Microsoft ale hovoří o útocích v Evropě obecně a skupina necílí podle národnosti, nýbrž podle zranitelnosti infrastruktury.
Domácí data přitom ukazují, že ransomware v Česku zůstává významnou hrozbou. Podle zprávy NÚKIB o stavu kybernetické bezpečnosti za rok 2024 ransomwarové útoky v posledním čtvrtletí výrazně vzrostly. Měsíční přehled incidentů za červen 2026 pak ukazuje útoky zejména ve zdravotnictví, veřejné správě a vzdělávání, tedy v sektorech, na které The Gentlemen běžně cílí.
Co s tím mohou firmy dělat
Kaspersky i Microsoft se shodují na jednom: vrstvená obrana je jedinou funkční odpovědí. Konkrétně to znamená:
- Patchovat všechny služby vystavené do internetu (VPN, firewally, vzdálené plochy).
- Nasadit vícefaktorové ověřování všude, kde je to možné.
- Používat EDR/XDR řešení s ochranou proti neoprávněné manipulaci.
- Monitorovat laterální pohyb v síti a exfiltraci dat.
- Mít offline nebo neměnné zálohy, které útočník nemůže smazat.
- Aktivně hledat známé indikátory kompromitace: přítomnost souboru sihost.exe, spojení na IP adresu 81.177.215.15, plánované úlohy s názvy jako DefUn nebo gentlemen_system a pokusy o nasazení zranitelných ovladačů.
Kdo spoléhá na to, že antivirus sám zastaví profesionální ransomwarovou operaci, spoléhá na zámek u dveří v domě, kde útočník už stojí uvnitř a metodicky vypíná alarm, kamery i pojistky. The Gentlemen právě ukazují, proč to nestačí.