Ransomware v Česku: 100% nárůst útoků, tři světové gangy a nová éra sofistikovaných hrozeb

Například v roce 2024 dosáhlo Česko stejného čísla až v srpnu. Tuzemská situace odráží alarmující globální trend: podle dat ze zprávy ESET Threat Report H2 2025 měl ransomware v roce 2025 celosvětově na svém kontě 6 937 obětí, čímž překonal celkový součet roku 2024 o více než 1 700 případů.

Experti společnosti ESET identifikovali tři skupiny, které v současnosti nejaktivněji útočí na české subjekty: Gentlemen, Akira a Qilin. Všechny tři gangy fungují v modelu Ransomware-as-a-Service (RaaS) – samy vyvíjejí malware a distribuují jej rozsáhlé síti partnerů, kteří provádějí útoky po celém světě. Podle dat ze zprávy ESET Threat Report H2 2025 jsou gangy Akira a Qilin globálně každý zodpovědný za přibližně deset procent všech analyzovaných ransomwarových útoků, přičemž Qilin se ve druhém pololetí roku 2025 stal dominantním hráčem na celé ransomwarové scéně po pádu skupiny RansomHub.

Zvláštní pozornost si zaslouží skupina Gentlemen, u níž ESET zaznamenal v prvním čtvrtletí 2026 prudký nárůst aktivity. Tato skupina neustále zdokonaluje svůj arzenál a disponuje rozsáhlou globální sítí partnerů.

„Skupina Gentlemen je jednou z nejaktivnějších ransomwarových organizací současnosti. V prvním čtvrtletí letošního roku jsme zaznamenali její výrazně zvýšenou aktivitu i v české digitální infrastruktuře. Skutečnost, že se tři globálně nejaktivnější RaaS skupiny současně zaměřují na Českou republiku, jasně ukazuje, že naše země je pro útočníky čím dál atraktivnějším cílem. Nejde přitom o sofistikované zero-day útoky – v drtivé většině průniků útočníci zneužívají zcela základní bezpečnostní mezery, které lze relativně snadno odstranit. Slabá hesla, neaktualizované systémy a otevřené RDP porty zůstávají hlavními vstupními body i pro ty nejnebezpečnější gangy,“ řekl Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET.

Útočníci neutralizují bezpečnostní software: EDR killery jako nový standard

Klíčovým trendem, který společnost ESET zaznamenala již koncem loňského roku a jehož dopad se projevuje i v českém prostředí, je masivní rozšíření tzv. EDR killerů. Jde o specializované nástroje navržené tak, aby deaktivovaly nebo zcela vypnuly bezpečnostní software instalovaný na napadených zařízeních. Jen v posledních třech měsících roku 2025 odhalili bezpečnostní experti z ESETu více než tucet nových nástrojů tohoto druhu, používané mimo jiné i partnery skupin Akira, Gentlemen a Qilin.

Nejrozšířenější metodou nasazení EDR killerů je technika BYOVD (Bring Your Own Vulnerable Driver). Útočník do systému oběti zavede legitimní, ale zranitelný ovladač, přes který poté z úrovně jádra operačního systému narušuje bezpečnostní procesy. Zároveň se šíří případy zneužívání legitimních nástrojů pro vzdálenou správu (RMM), jako jsou AnyDesk, MeshAgent nebo SimpleHelp – jejich nečekaná přítomnost v síti by proto měla okamžitě vyvolat bezpečnostní prověření.

Souběžně s tím útočníci již rutinně využívají tzv. double extortion model: data jsou nejprve exfiltrována a teprve poté zašifrována. Oběť je pak vydírána nejen hrozbou ztráty dat, ale také jejich zveřejněním.

Kdo je v hledáčku gangů: SMB, výrobní a technologické firmy

Ransomwarové gangy se v České republice zaměřují především na malé a střední podniky (SMB). Tento segment je pro útočníky lákavý. Tyto firmy mají zpravidla omezené kapacity v oblasti kybernetické bezpečnosti, dopady výpadku systémů jsou pro provoz závažnější a pravděpodobnost zaplacení výkupného je vyšší. Podle dat ze zprávy ESET Threat Report H2 2025 jsou globálně nejvíce zasaženými odvětvími výroba, stavebnictví, maloobchod, technologie a zdravotnictví – odvětví s vysokou závislostí na nepřetržitém provozu IT systémů.

V Česku převažují oběti z oblasti výroby, technologického sektoru a obchodu. Každá hodina výpadku zde přináší přímé finanční ztráty a zákazníci jsou okamžitě zasaženi. Ransomwarové skupiny s těmito dopady počítají a jsou schopné požadovat i mnohamilionová výkupná.

Jak se bránit: doporučení a konkrétní kroky

Bezpečnostní experti ESETu opakovaně potvrzují, že velká většina ransomwarových útoků nevyužívá sofistikované zero-day zranitelnosti. Podle dat ze zprávy ESET Threat Report tvoří hádání hesel více než 42 % všech externích vektorů průniku. Níže uvedenými opatřeními tak mohou firmy zablokovat drtivou většinu reálných útoků:

• Revize politik hesel a zavedení MFA: Slabá nebo opakovaně používaná hesla zůstávají nejčastější vstupní branou pro útoky ransomwarem. Vícefaktorová autentizace (MFA) dokáže naprostou většinu pokusů o průnik zastavit dřív, než dojde k přístupu do systému.
• Audit zařízení vystavených do internetu: Zejména VPN, RDP a exponované správcovské rozhraní. Pokusy o uhádnutí hesel a zneužití zranitelností VPN jsou dlouhodobě mezi třemi nejčastějšími vektory útoků. Veškerá zařízení musí být aktualizována a správně nakonfigurována.
• Pokrytí všech koncových bodů bezpečnostním řešením: Servery pro řízení oprávnění a přihlašování jsou pro útočníky klíčovým cílem – jejich kompromitace znamená fakticky plnou kontrolu nad celou sítí. Bezpečnostní software musí být nasazen bez výjimky na všech zařízeních.
• Aktivní reakce na bezpečnostní upozornění: Mnoho útoků ponechává v systémech stopy hodiny či dny před zašifrováním. Ignorovaná upozornění jsou promarněnou šancí útok zastavit. Zvláštní pozornost věnujte nečekanému výskytu nástrojů pro vzdálenou správu (AnyDesk, MeshAgent).
• Funkčnost a izolace záloh: Zálohy musí být fyzicky a logicky odděleny od produkční sítě – útočníci cíleně vyhledávají a šifrují či ničí i záložní systémy. Zálohy je nutné pravidelně testovat a ověřovat jejich obnovitelnost.