Útoky na počítače jsou čím dál intenzivnější. Microsoft varuje před novým sofistikovaným virem
Skupina Storm-1175 dokáže od průniku do firemní sítě k zašifrování všech dat dospět za pouhých 24 hodin. Microsoft její kampaň popsal 6. dubna 2026.
Obsah článku
Když bezpečnostní tým Microsoftu zveřejnil dubnové varování, nešlo o klasický virus, který si stáhnete z přílohy e-mailu. Šlo o něco nebezpečnějšího: lidsky řízenou ransomwarovou operaci, při níž útočníci systematicky prohledávají internet, hledají nezáplatované firemní systémy a po průniku kradou data dřív, než oběť stihne zareagovat. Payload se jmenuje Medusa, skupina za ním Storm-1175 – a její operační tempo je podle Microsoftu mimořádně agresivní.
Kdo je Storm-1175 a co je Medusa
Microsoft řadí Storm-1175 mezi čínské, finančně motivované kyberkriminální skupiny. Nejde o státem sponzorované špiony, jde o gang, který chce peníze. Medusa ransomware, jejich hlavní zbraň, existuje nejméně od června 2021 a FBI společně s CISA před ní varovaly už v březnu 2025. Nová není samotná rodina malwaru. Nová je vlna kampaní 2025–2026, při které Storm-1175 zneužívá čerstvé zranitelnosti, v některých případech ještě před tím, než dodavatel stihne vydat záplatu.
Důležité upřesnění: Medusa ransomware nemá nic společného s mobilním malwarem stejného jména ani s variantou MedusaLocker. Jde o samostatnou platformu typu ransomware-as-a-service, kde vyjednávání o výkupném řídí centrální vývojářský tým.
Jak útok probíhá, od průniku k vydírání
Řetězec útoku, jak jej Microsoft popisuje ve svém dubnovém blogu, má jasnou logiku:
- Vstupní bod – zneužití veřejně dostupné zranitelnosti ve firemním softwaru (GoAnywhere MFT, SmarterMail, BeyondTrust, Exchange, ScreenConnect, TeamCity a další).
- Uchycení – vytvoření web shellu nebo nového administrátorského účtu; nasazení legitimních nástrojů pro vzdálenou správu (RMM), které bezpečnostní software běžně neblokuje.
- Laterální pohyb – krádež přihlašovacích údajů, obcházení nebo vypínání ochrany koncových bodů.
- Exfiltrace – odčerpání citlivých dat přes nástroj Rclone ještě před šifrováním.
- Šifrování – spuštění encryptoru gaze.exe, přípona „.medusa“ na všech souborech, smazání záložních shadow copies.
- Dvojité vydírání – výhrůžka zveřejněním ukradených dat na leak site, pokud oběť nezaplatí.
Celý proces trvá typicky pět až šest dní. V nejagresivnějších případech ale Storm-1175 zvládne celý cyklus, od prvního průniku po nasazení ransomwaru, za jediný den.
Koho se to týká: ne domácí PC, ale firemní systémy
Nejslabším místem v tomto příběhu není uživatel, který klikne na podezřelý odkaz. Je to veřejně vystavená firemní služba, na kterou se nestihl dostat patch.
Microsoft uvádí největší dopad na:
- zdravotnictví
- školství
- profesionální služby (právní kanceláře, pojišťovny)
- finanční sektor
Geograficky jde primárně o USA, Velkou Británii a Austrálii. Ve veřejných českých zdrojích, včetně čtvrtletního přehledu hrozeb NÚKIB za Q1 2026, se potvrzený případ Storm-1175 nebo Medusy u české organizace nepodařilo dohledat. To ale neznamená, že české firmy jsou v bezpečí. Geografie u takových kampaní není bariéra; bariéra je patch a segmentace sítě.
Pro běžného domácího uživatele bez firemního softwaru typu GoAnywhere nebo BeyondTrust nejde o bezprostřední hrozbu stejného typu. Pokud ale pracujete v organizaci, která tyto systémy provozuje, vaše data ohrožena jsou, prostřednictvím zaměstnavatele.
Konkrétní zranitelnosti a co s nimi dělat
Storm-1175 v aktuální vlně zneužívá několik kritických chyb. Zde je přehled těch nejnaléhavějších:
| Produkt | CVE | Zneužíváno od | Opravená verze |
|---|---|---|---|
| GoAnywhere MFT | CVE-2025-10035 | září 2025 | 7.6.3 / 7.8.4+ |
| SmarterMail | CVE-2025-52691 | prosinec 2025 | Build 9413+ |
| SmarterMail | CVE-2026-23760 | leden 2026 (pre-patch) | Build 9518+ |
| BeyondTrust RS/PRA | CVE-2026-1731 | únor 2026 | BT26-02 patch |
GoAnywhere MFT: Fortra výslovně upozornila, že nejvyšší riziko hrozí zákazníkům s administrátorskou konzolí vystavenou do veřejného internetu. Okamžitá akce: záplatovat, stáhnout admin rozhraní za VPN, zkontrolovat logy na řetězec „SignedObject.getObject“ a neznámé admin účty.
SmarterMail: Dodavatel ve zprávě doporučuje přechod minimálně na build 9518; detailní technický bulletin k CVE-2026-23760 veřejně nezveřejnil, což komplikuje orientaci administrátorům. Přesto, aktualizovat bez odkladu.
BeyondTrust: Jde o pre-auth RCE, tedy útočník nepotřebuje žádné přihlašovací údaje. Dodavatel žádá samohostované zákazníky s internetově vystavenou nepatchovanou instancí, aby okamžitě aplikovali opravu a otevřeli ticket „Severity 1“.
Co doporučuje Microsoft a co doporučujeme my
Bezpečnostní tým Microsoftu shrnuje zmírnění rizik do několika bodů: izolovat systémy vystavené do internetu nebo je umístit za VPN, WAF či DMZ, zapnout vícefaktorové ověření pro všechny vzdálené přístupy, aktivovat Credential Guard a chránit se proti neoprávněné manipulaci, nasadit pravidla pro redukci útočné plochy (ASR rules) a monitorovat výskyt neznámých RMM nástrojů v síti.
Z našeho pohledu je ale klíčové něco jiného: rychlost. Storm-1175 dokáže zneužít zranitelnost do jednoho dne od jejího zveřejnění. Tradiční patchovací cyklus „jednou za měsíc“ proti tomuto tempu nestačí. Organizace, které provozují veřejně dostupné podnikové aplikace, potřebují proces, v němž se kritický patch aplikuje v řádu hodin, ne týdnů.
Ransomware v roce 2026 není příběh o tom, že někdo otevřel špatnou přílohu. Je to příběh o tom, že někde na internetu běží firemní server s dírou starou tři dny, a Storm-1175 ji už našla.
Nikdo si toho nevšímá, ale skrytý problém ve starém systému může hackerům otevřít dveře během sekund
Microsoft řeší kritické chyby ve svém antiviru. Útočníci je ale stihli využít dřív, než se na ně přišlo
Nový „boží“ virus pro Android se vydává za běžné aplikace. Po instalaci převezme plnou kontrolu nad telefonem
GTA 6 je nejočekávanější hra roku. V zákulisí ale probíhá boj o zdraví bez proplácení přesčasů
V červnu 2026 vyprší Windows bezpečnostní certifikáty. Většina počítačů čeká na aktualizaci marně
