Dnes je neděle 7. června 2026., Svátek má Iveta a Slavoj
Počasí dnes 23°C Polojasno

Útoky na počítače jsou čím dál intenzivnější. Microsoft varuje před novým sofistikovaným virem

9. 5. 2026 – 14:16 | Partnerské články | mobify.cz

Útoky na počítače jsou čím dál intenzivnější. Microsoft varuje před novým sofistikovaným virem
zdroj: GoodFon
Přidat mezi oblíbené zdroje na Googlu

Skupina Storm-1175 dokáže od průniku do firemní sítě k zašifrování všech dat dospět za pouhých 24 hodin. Microsoft její kampaň popsal 6. dubna 2026.

Obsah článku

Když bezpečnostní tým Microsoftu zveřejnil dubnové varování, nešlo o klasický virus, který si stáhnete z přílohy e-mailu. Šlo o něco nebezpečnějšího: lidsky řízenou ransomwarovou operaci, při níž útočníci systematicky prohledávají internet, hledají nezáplatované firemní systémy a po průniku kradou data dřív, než oběť stihne zareagovat. Payload se jmenuje Medusa, skupina za ním Storm-1175 – a její operační tempo je podle Microsoftu mimořádně agresivní.

Kdo je Storm-1175 a co je Medusa

Microsoft řadí Storm-1175 mezi čínské, finančně motivované kyberkriminální skupiny. Nejde o státem sponzorované špiony, jde o gang, který chce peníze. Medusa ransomware, jejich hlavní zbraň, existuje nejméně od června 2021 a FBI společně s CISA před ní varovaly už v březnu 2025. Nová není samotná rodina malwaru. Nová je vlna kampaní 2025–2026, při které Storm-1175 zneužívá čerstvé zranitelnosti, v některých případech ještě před tím, než dodavatel stihne vydat záplatu.

Důležité upřesnění: Medusa ransomware nemá nic společného s mobilním malwarem stejného jména ani s variantou MedusaLocker. Jde o samostatnou platformu typu ransomware-as-a-service, kde vyjednávání o výkupném řídí centrální vývojářský tým.

Jak útok probíhá, od průniku k vydírání

Řetězec útoku, jak jej Microsoft popisuje ve svém dubnovém blogu, má jasnou logiku:

  1. Vstupní bod – zneužití veřejně dostupné zranitelnosti ve firemním softwaru (GoAnywhere MFT, SmarterMail, BeyondTrust, Exchange, ScreenConnect, TeamCity a další).
  2. Uchycení – vytvoření web shellu nebo nového administrátorského účtu; nasazení legitimních nástrojů pro vzdálenou správu (RMM), které bezpečnostní software běžně neblokuje.
  3. Laterální pohyb – krádež přihlašovacích údajů, obcházení nebo vypínání ochrany koncových bodů.
  4. Exfiltrace – odčerpání citlivých dat přes nástroj Rclone ještě před šifrováním.
  5. Šifrování – spuštění encryptoru gaze.exe, přípona „.medusa“ na všech souborech, smazání záložních shadow copies.
  6. Dvojité vydírání – výhrůžka zveřejněním ukradených dat na leak site, pokud oběť nezaplatí.

Celý proces trvá typicky pět až šest dní. V nejagresivnějších případech ale Storm-1175 zvládne celý cyklus, od prvního průniku po nasazení ransomwaru, za jediný den.

Koho se to týká: ne domácí PC, ale firemní systémy

Nejslabším místem v tomto příběhu není uživatel, který klikne na podezřelý odkaz. Je to veřejně vystavená firemní služba, na kterou se nestihl dostat patch.

Microsoft uvádí největší dopad na:

  • zdravotnictví
  • školství
  • profesionální služby (právní kanceláře, pojišťovny)
  • finanční sektor

Geograficky jde primárně o USA, Velkou Británii a Austrálii. Ve veřejných českých zdrojích, včetně čtvrtletního přehledu hrozeb NÚKIB za Q1 2026, se potvrzený případ Storm-1175 nebo Medusy u české organizace nepodařilo dohledat. To ale neznamená, že české firmy jsou v bezpečí. Geografie u takových kampaní není bariéra; bariéra je patch a segmentace sítě.

Pro běžného domácího uživatele bez firemního softwaru typu GoAnywhere nebo BeyondTrust nejde o bezprostřední hrozbu stejného typu. Pokud ale pracujete v organizaci, která tyto systémy provozuje, vaše data ohrožena jsou, prostřednictvím zaměstnavatele.

Konkrétní zranitelnosti a co s nimi dělat

Storm-1175 v aktuální vlně zneužívá několik kritických chyb. Zde je přehled těch nejnaléhavějších:

ProduktCVEZneužíváno odOpravená verze
GoAnywhere MFTCVE-2025-10035září 20257.6.3 / 7.8.4+
SmarterMailCVE-2025-52691prosinec 2025Build 9413+
SmarterMailCVE-2026-23760leden 2026 (pre-patch)Build 9518+
BeyondTrust RS/PRACVE-2026-1731únor 2026BT26-02 patch

GoAnywhere MFT: Fortra výslovně upozornila, že nejvyšší riziko hrozí zákazníkům s administrátorskou konzolí vystavenou do veřejného internetu. Okamžitá akce: záplatovat, stáhnout admin rozhraní za VPN, zkontrolovat logy na řetězec „SignedObject.getObject“ a neznámé admin účty.

SmarterMail: Dodavatel ve zprávě doporučuje přechod minimálně na build 9518; detailní technický bulletin k CVE-2026-23760 veřejně nezveřejnil, což komplikuje orientaci administrátorům. Přesto, aktualizovat bez odkladu.

BeyondTrust: Jde o pre-auth RCE, tedy útočník nepotřebuje žádné přihlašovací údaje. Dodavatel žádá samohostované zákazníky s internetově vystavenou nepatchovanou instancí, aby okamžitě aplikovali opravu a otevřeli ticket „Severity 1“.

Co doporučuje Microsoft a co doporučujeme my

Bezpečnostní tým Microsoftu shrnuje zmírnění rizik do několika bodů: izolovat systémy vystavené do internetu nebo je umístit za VPN, WAF či DMZ, zapnout vícefaktorové ověření pro všechny vzdálené přístupy, aktivovat Credential Guard a chránit se proti neoprávněné manipulaci, nasadit pravidla pro redukci útočné plochy (ASR rules) a monitorovat výskyt neznámých RMM nástrojů v síti.

Z našeho pohledu je ale klíčové něco jiného: rychlost. Storm-1175 dokáže zneužít zranitelnost do jednoho dne od jejího zveřejnění. Tradiční patchovací cyklus „jednou za měsíc“ proti tomuto tempu nestačí. Organizace, které provozují veřejně dostupné podnikové aplikace, potřebují proces, v němž se kritický patch aplikuje v řádu hodin, ne týdnů.

Ransomware v roce 2026 není příběh o tom, že někdo otevřel špatnou přílohu. Je to příběh o tom, že někde na internetu běží firemní server s dírou starou tři dny, a Storm-1175 ji už našla.

Zdroj: Mobify.cz - Váš párťák ve světě elektroniky

Autor: Oliver Cerman

Nejnovější články