Postřehy z bezpečnosti: ransomware Gentlemen posílený botnetem

27. 4. 2026

Doba čtení: 12 minut

Líbí se vám článek?
Podpořte redakci

V tomto vydání seriálu se podíváme na vishingové útoky skupiny BlackFile, perzistentní malware na zařízeních Cisco, chybu v iOS umožňující obnovu smazaných dat a zneužívané zranitelnosti SharePointu.

Nová skupina BlackFile spojena s nárůstem vishingových útoků

Nová finančně motivovaná skupina nazvaná BlackFile je od února 2026 spojována s vlnou útoků zaměřených na krádež dat a vydírání, které vede proti organizacím v odvětví maloobchodu a pohostinství.

Skupina známá také pod označeními CL-CRI-1116, UNC6671 nebo Cordial Spider se vydává za pracovníky firemní IT podpory s cílem ukrást přihlašovací údaje zaměstnanců a požadovat výkupné v řádu milionů dolarů. Tyto informace sdílela Unit 42 společnosti Palo Alto Networks spolu s Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC).

Bezpečnostní výzkumníci z Unit 42 také se střední mírou jistoty spojili BlackFile s „The Com“, volnou sítí anglicky mluvících kyberzločinců známou tím, že se zaměřuje na mladé lidi a verbuje je k vydírání, násilí a výrobě materiálu zobrazujícího sexuální vykořisťování dětí (CSAM).

Ve čtvrteční zprávě RH-ISAC uvedl, že útoky této skupiny začínají telefonáty zaměstnancům z podvržených čísel, aby je nalákali na falešné firemní přihlašovací stránky, kde jsou vyzváni k zadání svých přihlašovacích údajů a jednorázových kódů.

„Můžeme potvrdit, že zaznamenáváme významný nárůst případů souvisejících s Blackfile a že taktiky a postupy (TTP) se zdají být velmi podobné skupinám jako ShinyHunters a SLSH a podobným napodobitelům využívajícím taktiky zneužití dat prostřednictvím vishingu a sociálního inženýrství,“ sdělil serveru BleepingComputer také zakladatel a generální ředitel společnosti CyberSteward Jason S.T. Kotler.

Pomocí ukradených přihlašovacích údajů registrují útočníci z BlackFile svá vlastní zařízení, aby obešli vícefaktorové ověření, a poté si zvýší přístupová oprávnění k účtům na úrovni vedení společnosti tak, že prohledají interní adresáře zaměstnanců.

Skupina využívá přístup k API služby Salesforce a standardních funkcí stahování v SharePointu, skrze které přesouvá velké objemy dat – včetně datových souborů CSV obsahujících telefonní čísla zaměstnanců a důvěrné obchodní zprávy. K tomu často dochází pod rouškou legitimních relací ověřených prostřednictvím SSO, aby se zabránilo spuštění jednoduchých výstrah založených na user-agentu.

Ukradené dokumenty útočníci stahují na své servery a zveřejňují je na stránkách s úniky dat na dark webu, než oběti kontaktují s požadavky na výkupné prostřednictvím napadených e-mailových účtů zaměstnanců nebo náhodně generovaných gmailových adres.

Pro snížení úspěšnosti útoků BlackFile doporučuje RH-ISAC posílit zásady pro vyřizování hovorů, zavést vícefaktorové ověřování identity volajících a provádět školení zaměstnanců v oblasti sociálního inženýrství založené na simulacích.

Malware Firestarter odolává aktualizacím firewallů Cisco i bezpečnostním záplatám

Kyberbezpečnostní agentury v USA a Velké Británii varují před speciálně vytvořeným malwarem s názvem Firestarter, který přetrvává na zařízeních Cisco Firepower a Secure Firewall s nainstalovaným softwarem Adaptive Security Appliance (ASA) nebo Firepower Threat Defense (FTD).

Backdoor byl připsán útočníkovi, kterého Cisco Talos interně sleduje pod označením UAT-4356 a který je známý kyberšpionážními kampaněmi, včetně ArcaneDoor.

Americká Agentura pro kyberbezpečnost a bezpečnost infrastruktury (CISA) a britské Národní centrum pro kyberbezpečnost (NCSC) se domnívají, že útočník získal počáteční přístup zneužitím chyby v autorizaci (CVE-2025–20333) a/nebo chyby buffer overflow (CVE-2025–20362).

V jednom případě CISA zaznamenala, že útočník nejprve nasadil malware Line Viper, což je nástroj pro načítání shellcode v uživatelském režimu, a poté využil nástroj Firestarter, který umožňuje trvalý přístup i po instalaci oprav. Line Viper se používá k navázání VPN relací a přístupu ke všem konfiguračním detailům, včetně administrativních přihlašovacích údajů, certifikátů a soukromých klíčů na napadených zařízeních Firepower. Dále je při útoku nasazen binární soubor ELF pro backdoor Firestarter, který zajišťuje perzistenci.

Jakmile se Firestarter usadí na zařízeních, zachovává si perzistenci i po restartu, aktualizacích firmwaru a bezpečnostních záplatách. Backdoor se navíc automaticky spustí znovu, pokud je ukončen. Perzistence je dosažena napojením na LINA, jádrový proces Cisco ASA, a použitím signálních handlerů, které spouštějí rutiny pro reinstalaci.

Společná zpráva těchto dvou agentur o analýze malwaru vysvětluje, že Firestarter upravuje spouštěcí soubor CSP_MOUNT_LIST, aby zajistil své spuštění při startu systému, uloží svou kopii do souboru /opt/cisco/platform/logs/var/log/svc_samcore.log a obnoví ji do adresáře /usr/bin/lina_cs, kde běží na pozadí.

Cisco Talos rovněž zveřejnil svou analýzu, v níž uvádí, že mechanismus perzistence se spouští při přijetí signálu k ukončení procesu, známého také jako „graceful reboot“.

CISA nepotvrdila přesné datum počátečního zneužití, ale odhaduje, že k narušení došlo na začátku září 2025. Neposkytla ani žádné podrobnosti o konkrétních payloadech pozorovaných při útocích. Společnost Cisco zveřejnila bezpečnostní doporučení, které obsahuje opatření a řešení pro odstranění mechanismu perzistence, stejně jako indikátory kompromitace. Výrobce důrazně doporučuje přeinstalovat a aktualizovat zařízení pomocí opravených verzí, což se týká jak kompromitovaných, tak nekompromitovaných případů.

Apple opravil chybu, díky níž mohla FBI obnovit smazané zprávy ze Signalu

Společnost Apple vydala mimořádné bezpečnostní aktualizace pro iPhone a iPad, které opravují chybu ve službě Notification Services. Kvůli ní mohla být oznámení označená ke smazání nadále uložena v zařízení.

Chyba označená jako CVE-2026–28950 byla opravena 22. dubna 2026 v iOS 26.4.2 a iPadOS 26.4.2 a v iOS 18.7.8 a iPadOS 18.7.8.

„Oznámení označená k odstranění mohla být neočekávaně uchována v zařízení,“ uvádí bezpečnostní bulletin společnosti Apple. Chyba byla opravena vylepšením procesu mazání dat, žádné další informace nejsou k dispozici. Společnost neřekla, zda byla chyba zneužita při útocích, ani proč byla opravena mimo běžný cyklus bezpečnostních aktualizací. Rovněž neposkytla technické podrobnosti o tom, jak dlouho data oznámení na zařízení zůstávala, ani jak by mohla být potenciálně obnovena.

Zatímco Apple nevysvětlil, proč tuto nouzovou aktualizaci vydal, nedávná zpráva 404 Media popsala, jak FBI obnovila kopie zpráv aplikace Signal z iPhonu podezřelého, a to i poté, co byly v aplikaci smazány.

Podle soudních zápisů zveřejněných příznivci obžalovaných nepocházela obnovená data z úložiště šifrovaných zpráv aplikace Signal, ale z interního úložiště oznámení v iPhonu.

Bulletin společnosti Apple se na tento případ neodkazuje, ale jeho popis uchovávání oznámení v zařízení se velmi podobá popsanému typu uchovávání dat. Uživatelům se doporučuje co nejdříve nainstalovat nejnovější aktualizace, aby se zabránilo neočekávanému uchovávání smazaných dat oznámení v jejich zařízeních.

Více než 1 300 serverů SharePoint je zranitelných vůči spoofingu

Přes 1 300 serverů Microsoft SharePoint dostupných online stále není opraveno proti zranitelnosti typu spoofing, která byla zneužita jako zero-day a je i nadále zneužívána v probíhajících útocích.

Tato bezpečnostní chyba, označená jako CVE-2026–32201, postihuje SharePoint Enterprise Server 2016, SharePoint Server 2019 a SharePoint Server Subscription Edition (nejnovější on-premise verzi, která využívá model „kontinuální aktualizace“).

Jak vysvětlila společnost Microsoft při opravě této bezpečnostní chyby v rámci dubnového Patch Tuesday 2026, úspěšné zneužití umožňuje útočníkům bez oprávnění provádět síťové spoofingové útoky tím, že využijí slabinu v nesprávné validaci vstupů v útocích s nízkou složitostí, které nevyžadují interakci uživatele.

„Útočník, kterému se podařilo tuto zranitelnost zneužít, by mohl nahlížet do některých citlivých informací (důvěrnost), provádět změny v odhalených informacích (integrita), ale nemůže omezit přístup k danému zdroji (dostupnost),“ uvedla společnost. Ačkoliv Microsoft označil tuto zranitelnost za zero-day, dosud nezveřejnil, jak byla při útocích zneužita, ani tuto škodlivou činnost nespojil s konkrétním útočníkem či skupinou.

V úterý skupina Shadowserver, která dohlíží na bezpečnost na internetu, varovala, že více než 1 300 neopravených serverů Microsoft SharePoint vystavených online stále čeká na zabezpečení. Od vydání bezpečnostních aktualizací na CVE-2026–32201 v týdnu předtím bylo opraveno méně než 200 systémů.

Nová skupina zneužívá ke komunikaci Outlook, Slack a Discord

Dosud neznámá skupina podporovaná státem s názvem GopherWhisper využívá při útocích na vládní subjekty vlastní sadu nástrojů napsanou v jazyce Go a legitimní služby, jako jsou Microsoft 365 Outlook, Slack a Discord. Tito hackeři, aktivní přinejmenším od roku 2023, jsou spojováni s Čínou a odhaduje se, že napadli desítky obětí.

V rámci kampaně identifikované společností ESET se zaměřili na vládní subjekt v Mongolsku a nasadili sadu malwaru s několika zadními vrátky, která pro komunikaci typu command-and-control (C2) využívala služby Slack, Discord a Microsoft Graph API. GopherWhisper rovněž využíval vlastní nástroj pro exfiltraci dat, který sloužil ke kompresi odcizených dat a jejich nahrání na službu pro sdílení souborů File.io.

V lednu 2025 společnost ESET detekovala první backdoor GopherWhisper, který byl napsán v Go, a pojmenovala jej LaxGopher. Tento malware dokáže načítat příkazy ze soukromého serveru Slack, provádět je pomocí příkazového řádku a stahovat nové payloady. Další vyšetřování odhalilo, že útočníci nasadili další škodlivé nástroje, z nichž většina byla založena na jazyce Go:

RatGopher – backdoor napsaný v jazyce Go, který využívá soukromý server Discord pro komunikaci C2, provádí příkazy a výsledky odesílá zpět do nakonfigurovaného kanálu.
BoxOfFriends – backdoor napsaný v jazyce Go, který využívá Microsoft 365 Outlook (rozhraní Microsoft Graph API) k vytváření a úpravám konceptů e-mailů pro komunikaci C2.
SSLORDoor – backdoor v jazyce C++ využívající OpenSSL BIO přes raw sokety (port 443), schopný provádět příkazy a operace se soubory (čtení, zápis, mazání, nahrávání) a enumerace disků.
JabGopher – injektor, který spouští svchost.exe a vkládá do jeho paměti backdoor LaxGopher (maskovaný jako whisper.dll).
FriendDelivery – škodlivá DLL fungující jako loader a injektor, který spouští backdoor BoxOfFriends.
CompactGopher – nástroj pro sběr souborů založený na Go, který komprimuje data z příkazového řádku a exfiltruje je do služby pro sdílení souborů file.io.

Pomocí přihlašovacích údajů pevně zakódovaných v backdoorech napsaných v jazyce Go se výzkumníkům podařilo získat přístup k účtům útočníka na platformách Slack, Discord a Microsoft Outlook a obnovit komunikaci s řídicím serverem (C2), která zahrnovala příkazy, nahrané soubory a experimentální aktivity.

„Získali jsme a analyzovali celkem 6 044 zpráv ze Slacku sahajících až do 21. srpna 2024 a 3 005 zpráv z Discordu, z nichž nejstarší pochází z 16. listopadu 2023,“ uvádí ESET ve své technické zprávě. Tento přístup spolu s metadaty získanými ze serveru C2 také pomohl výzkumníkům spojit hackery s Čínou.

„Kontrola časových razítek těchto zpráv ze Slacku ukázala, že příkazy byly vydány mezi 00:00 a 12:00 UTC, zatímco historie zpráv z Discord odhalila, že příkazy byly odeslány mezi 00:00 a 14:00 UTC.“

Výzkumníci dále uvedli, že po změně časového pásma na UTC+8, které odpovídá „národnímu nastavení zh-CN nalezenému v metadatech serveru Slack“, společnost zaznamenala jen minimální aktivitu mimo pracovní dobu mezi 8:00 a 17:00, což zvyšuje jistotu při přiřazování odpovědnosti.

Telemetrická data společnosti ESET naznačují, že GopherWhister napadl 12 systémů v mongolské vládní instituci, ale analýza C2 provozu na platformách Discord a Slack odhalila, že existují „desítky dalších obětí“, ačkoliv výzkumníci nemají přehled o jejich geografické poloze a odvětvích činnosti.

ESET poskytl sadu indikátorů kompromitace (IoC) GopherWhister k identifikaci a blokaci útoků z tohoto nového klastru hrozeb.

Ransomware Gentlemen využívá SystemBC k útokům skrze botnet

V rámci vyšetřování útoku ransomwaru Gentlemen byl odhalen botnet s malwarem SystemBC čítající více než 1 570 hostitelů, u nichž se předpokládá, že se jedná o oběti z velkých firem.

Operace RaaS Gentlemen se objevila kolem poloviny roku 2025 a poskytuje locker založený na jazyce Go, který dokáže šifrovat systémy Windows, Linux, NAS a BSD, a locker založený na C pro hypervizory ESXi.

V prosinci loňského roku napadl jednoho z největších rumunských dodavatelů energie, Oltenia Energy Complex. Na začátku tohoto měsíce skupina Adaptavist Group zveřejnila informaci o narušení, které ransomware Gentlemen uvedl na svém webu s úniky dat.

Ačkoliv se tato operace veřejně přihlásila k odpovědnosti za přibližně 320 obětí, výzkumníci společnosti Check Point zjistili, že partneři ransomwaru Gentlemen rozšiřují svou sadu útočných nástrojů a infrastrukturu. Během reakce na incident výzkumníci zjistili, že jeden z partnerů této ransomwarové operace se pokusil nasadit proxy malware pro skryté doručení škodlivého kódu.

„Check Point Research sledoval telemetrická data obětí z příslušného řídicího serveru SystemBC a odhalil botnet s více než 1 570 oběťmi. Profil infekce silně naznačuje zaměření na podniková a organizační prostředí spíše než na příležitostné cílení na spotřebitele,“ uvádějí výzkumníci ve zprávě.

SystemBC existuje přinejmenším od roku 2019 a používá se pro tunelování SOCKS5. Jeho schopnost zavádět payloady do infikovaných systémů byla rychle přijata ransomwarovými gangy. Navzdory policejní akci, která proti němu byla v roce 2024 vedena, zůstává tento botnet aktivní a loni společnost Black Lotus Labs oznámila, že každý den infikuje 1 500 komerčních virtuálních privátních serverů (VPS) za účelem přesměrování škodlivého provozu.

Podle společnosti Check Point se většina obětí souvisejících s nasazením nástroje SystemBC skupinou Gentlemen nachází ve Spojených státech, Velké Británii, Německu, Austrálii a Rumunsku.

Ačkoliv společnost Check Point nedokázala u pozorovaných útoků určit původní cestu průniku, výzkumníci uvádějí, že útočník s přezdívkou „Gentlemen“ operoval z doménového řadiče s oprávněními správce domény. Odtud útočník ověřoval, které přihlašovací údaje fungují, a prováděl průzkum, než nasadil payloady Cobalt Strike do vzdálených systémů přes RPC. Laterální pohyb byl podporován sběrem přihlašovacích údajů pomocí Mimikatz a vzdáleným spuštěním. Útočníci připravili ransomware z interního serveru a využili vestavěné šíření a zásady skupiny (GPO) k vyvolání téměř simultánního spuštění šifrovacího modulu napříč systémy připojenými k doméně.

Podle výzkumníků tento malware využívá hybridní schéma založené na algoritmech X25519 (Diffie–Hellman) a XChaCha20 a pro každý soubor je generován náhodný dočasný pár klíčů. Soubory menší než 1 MB jsou šifrovány v plném rozsahu, zatímco u větších souborů byly šifrovány pouze části dat o velikosti přibližně 9 %, 3 % nebo 1 %.

Před šifrováním ransomware Gentlemen ukončí databáze, zálohovací software a virtualizační procesy a smaže stínové kopie a protokoly. Varianta ESXi také vypne virtuální stroje, aby zajistila, že disky mohou být zašifrovány.

Výzkumníci se domnívají, že použití nástroje SystemBC ve spojení s Cobalt Strike a botnetem čítajícím 1 570 hostitelů může naznačovat, že skupina stojící za ransomwarem Gentlemen nyní působí na vyšší úrovni a „aktivně se integruje do širšího souboru nástrojů zahrnujícího vyspělé frameworky pro fázi po zneužití systému a proxy infrastrukturu“.

Kromě indikátorů kompromitace (IoC) shromážděných z vyšetřovaného incidentu poskytl Check Point ve své zprávě také detekci založenou na signaturách ve formě pravidla YARA, které má obráncům pomoci se před takovými útoky chránit.

Ve zkratce

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Seriál: Postřehy z bezpečnosti