Hlavní novinkou je rozšíření operací ransomwarové skupiny Gentlemen, jejíž infrastruktura nově sdílí prostředky s několika botnety. Dosavadní pohled na Gentlemen jako na „menšího hráče v rolovém modelu RaaS“ přestává platit. Skupina využívá kompromitované zařízení botnetu pro distribuci payloadů a maskování příkazové infrastruktury, čímž ztěžuje detekci přes klasické indikátory kompromitace. Pro obranu to znamená kontrolu egress provozu na neznámé hostitele a sledování DNS dotazů na netypické subdomény, ne jen blokování statických indikátorů.

Druhým tématem jsou vishingové útoky skupiny BlackFile, která cílí na pracovníky podpory a help desků větších organizací. Útočník volá zaměstnanci a vydává se za interní IT, požaduje resetování hesla nebo schválení MFA a po získání prvotního přístupu okamžitě zakládá nové API klíče či vlastní MFA tokeny. Postup se velmi podobá technice, kterou loni používaly skupiny Scattered Spider a ShinyHunters, a důsledkem bývá kompromitace celého SSO. Doporučení pro CISO je dvojí: zavést verifikační proces u telefonických žádostí o reset hesla (například zpětný hovor na ověřené číslo) a aktivovat detekci anomálií u nově vytvořených MFA registrací a API klíčů.

Třetím tématem je perzistentní malware na zařízeních Cisco, který útočník instaluje na úrovni konfigurace bootloaderu a dokáže přežít přeinstalaci IOS XE. Kampaň zapadá do širšího trendu útoků na síťová zařízení – v tomto týdnu CISA na stejné téma vydala varování FIRESTARTER týkající se Cisco ASA, Firepower a Secure Firewall. Provozovatelé kritických sítí by měli prověřit integritu firmware na perimetrových zařízeních, ideálně vůči srovnávacímu vzorku, a vyhodnotit, jestli mají správně nastavené role-based přihlašování a oddělený management VLAN.

Čtvrtá zpráva se týká objevené chyby v iOS, která umožňuje obnovit smazaná data z notifikací. Notifikace zaslané aplikacemi (včetně Signal, WhatsApp či mailových klientů) zůstávaly i po smazání v interní databázi zařízení až měsíc po odstranění. Útočník s fyzickým přístupem nebo forenzní nástroj policejního typu dokázal text zpětně vyčíst. Apple chybu opravil v aktualizaci iOS, kterou doporučujeme co nejrychleji nasadit – zejména na zařízeních pracovníků, kteří manipulují s citlivými údaji subjektů údajů. V kontextu GDPR jde o problém z hlediska čl. 32 (zabezpečení zpracování), nejen o riziko pro koncového uživatele.

Pátým bodem je aktivně zneužívaná zranitelnost v Microsoft SharePointu. Útočníci ji využívají k získání přístupu k interním dokumentovým knihovnám organizací, které neaplikovaly poslední záplaty Patch Tuesday. Pro sítě, kde SharePoint slouží jako oficiální úložiště smluv, projektové dokumentace nebo HR dat, je zranitelnost obzvlášť závažná – jeden úspěšný průnik typicky odkrývá kompletní strukturu firmy. Doporučení: ověřit, zda jsou nasazeny záplaty z dubnového Patch Tuesday, sledovat anomální dotazy na endpointy SharePoint Search API a u veřejně dostupných instancí omezit přístup z geolokací mimo provoz organizace.

Spojnicí pěti zdánlivě nesouvisejících událostí je rostoucí profesionalizace útočných operací. Botnety, vishing kit jako služba, perzistentní rootkity i forenzní zneužití zbytkových dat – to vše ukazuje, že útočníci přestávají sázet na jednu „úhybnou“ techniku a kombinují vrstvy. Obrana, která dnes obstojí, musí pokrývat řízení přístupu, integritu firmware i řízení egress provozu zároveň. Pro provozovatele povinné dle NIS2 jde zároveň o ukázku, proč je periodická revize bezpečnostních opatření součástí povinnosti řízení rizik podle § 6 zákona č. 264/2025 Sb. – jednorázový audit nestačí.

Root.cz