Vyděračské kyberútoky v Česku prudce rostou. Za první kvartál roku 2026 se jejich počet meziročně zdvojnásobil na 12 evidovaných případů, varuje bezpečnostní firma Eset. Kyberzločinci míří především na menší firmy z výroby a technologického sektoru, které mají slabší ochranu. Útočníci navíc zdokonalují své metody a kombinují šifrování dat s hrozbou jejich zveřejnění.
Počet útoků se zdvojnásobil
Počet vyděračských útoků (ransomware) na firmy v ČR se v prvním čtvrtletí meziročně zdvojnásobil. Na veřejných stránkách ransomwarových skupin bylo evidováno 12 českých obětí, loni za stejné období jich bylo šest a třeba v roce 2024 dosáhlo Česko stejného čísla až v srpnu. Uvedla to bezpečnostní firma Eset.
Vyděračské gangy se v České republice zaměřují především na malé a střední podniky. Ty jsou pro útočníky lákavé, protože zpravidla mají omezené kapacity v kybernetické bezpečnosti a dopady výpadku systémů jsou pro jejich provoz závažnější, proto je vyšší pravděpodobnost zaplacení výkupného. V Česku převažují oběti z oblasti výroby, technologického sektoru a obchodu.
Každá hodina výpadku stojí miliony
"Každá hodina výpadku zde přináší přímé finanční ztráty a zákazníci jsou okamžitě zasaženi. Ransomwarové skupiny s těmito dopady počítají a jsou schopné požadovat i mnohamilionová výkupné," uvedl vedoucí výzkumného týmu Esetu Jakub Souček.
Experti Esetu identifikovali tři skupiny, které v současnosti nejaktivněji útočí na české subjekty, Gentlemen, Akira a Qilin. Všechny tři gangy samy vyvíjejí škodlivé programy a distribuují je v rozsáhlé síti partnerů, kteří provádějí útoky po celém světě. Podle dat Esetu jsou gangy Akira a Qilin globálně každý zodpovědný za přibližně desetinu všech analyzovaných ransomwarových útoků, přičemž Qilin se ve druhém pololetí roku 2025 stal dominantním hráčem na celé ransomwarové scéně po pádu skupiny RansomHub.
Skupina Gentlemen zrychluje
Zvláštní pozornost si zaslouží skupina Gentlemen, u které Eset zaznamenal v letošním prvním kvartále prudký nárůst aktivity. Skupina neustále zdokonaluje svůj arzenál a má rozsáhlou globální síť partnerů.
Útočníci se zaměřují na šíření tzv. EDR killerů, což jsou specializované nástroje navržené tak, aby deaktivovaly nebo zcela vypnuly bezpečnostní software instalovaný na napadených zařízeních. Útočník do systému oběti zavede legitimní, ale zranitelný ovladač, přes který poté z úrovně jádra operačního systému narušuje bezpečnostní procesy. Zároveň se šíří případy zneužívání legitimních nástrojů pro vzdálenou správu. Souběžně s tím útočníci rutinně využívají tzv. double extortion model, kdy data jsou nejprve stažena a teprve poté zašifrována. Oběť pak vydírají nejen hrozbou ztráty dat, ale i jejich zveřejněním.
