Od začátku roku 2026 se útočníci z gangu Gentlemen zařadili mezi nejaktivnější skupiny v ekosystému operátorů ransomwaru. Skupina se od ostatních odlišuje pokročilou sadou nástrojů pro obcházení detekce a reakce na koncových zařízeních (EDR). Na rozdíl od většiny dalších předních gangů se Gentlemen nezaměřuje primárně na oběti v USA. Mimo Thajsko, Brazílii či Francii útočníci operují také v České republice.
Skupina funguje jako RaaS (ransomware-as-a-service), což je model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům.
"V posledních měsících se objevovalo několik různých analýz ransomwarového gangu Gentlemen, nezaměřovaly se nicméně na detailní popis jeho nástrojů pro vypínání EDR. ESET má kontinuální vhled do incidentů spojovaných s tímto gangem, a může tak poskytnout jedinečný a komplexní obraz o tom, jak skupina EDR killery vyvíjí a používá. Gang navíc v květnu 2026 zasáhl únik interních dat, díky kterému jsme získali další cenné informace o jeho fungování. V únoru 2026 jsme detekovali poměrně unikátní sadu nástrojů k vypínání zabezpečení v rukou gangu Gentlemen. Už tehdy jsme s vysokou pravděpodobností předpokládali, že nástroje jsou spravovány a z velké části také vyvíjeny přímo vedením gangu. Nedávno uniklá data nám tuto hypotézu definitivně potvrdila. Sadu nástrojů, které gang sám vyvíjí, jsme souhrnně označili jako GentleKiller. Z pohledu obrany nám pochopení toho, jak funguje GentleKiller, umožňuje lépe navrhnout naše obranné strategie a bránit se i proti dosud nevyvinutým nástrojům v arzenálu gangu Gentlemen," říká Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET, který se specializuje na monitorování mezinárodní kyberkriminality.
Ransomwarový gang Gentlemen se objevil na konci roku 2025. Rychle se vypracoval mezi nejaktivnější ransomwarové skupiny pozorované během 1. čtvrtletí roku 2026. Skupina nabízí svým partnerům velkorysý podíl ve výši 90 % zisků z operací. Gentlemen své oběti vydírá dvojím způsobem - kromě šifrování dat také vyhrožuje jejich zveřejněním, pokud oběť nezaplatí výkupné.
Útočníci ze skupiny Gentlemen se od ostatních velkých hráčů odlišují. Jednou z těchto odlišností je jejich ochota poskytnout svým partnerům několik nástrojů k různým účelům - kromě nástroje pro šifrování také nástroje k obcházení EDR. Výběr cílů většinou zajišťují partneři gangů, přičemž u ostatních velkých ransomwarových gangů převažuje jeden vzorec, a to výrazné a dlouhodobé zacílení na oběti v USA.
Tyto oběti často tvoří přibližně polovinu všech zveřejněných obětí útoků ransomwarem. Gentlemen jsou opět výraznou výjimkou. Ačkoli se za 1. čtvrtletí roku 2026 řadí mezi pět nejaktivnějších ransomwarových skupin, cílí konzistentně na oběti napříč širokým a geograficky různorodým spektrem zemí.
Významná část obětí pochází z regionů, jako jsou jihovýchodní Asie, Jižní Amerika a západní Evropa, podle informací bezpečnostních expertů ale gang operuje také v Česku.
Aktuálně je na veřejných stránkách ransomwarových skupin evidováno již 20 českých obětí od začátku roku 2026, přičemž za celý minulý rok jich bylo 22. Převažují u nás oběti z oblasti výroby, technologického sektoru a obchodu.
Skupina dále také využívá nástroje, které jí poskytují třetí strany nebo uniknou na dark web. Jde např. o nástroje, které ESET označuje jako HexKiller, ThrottleBlood a HavocKiller. Všechny EDR killery skupiny Gentlemen, ať už vyvinuté či získané odjinud, spojuje společná strategie, jak uniknout pozornosti obránců. Útočníci je vydávají převážně za legitimní bezpečnostní software pomocí falešných informací, jako jsou verze programu či kopie certifikátů a ikon.
Útočníci z gangu Gentlemen zároveň dokáží neobvykle rychle uvést do praxe postupy, které bývají do té doby jen tzv. proof of concept, a to v řádech několika dní od jejich zveřejnění.
Často se jedná o scénáře typu Bring Your Own Vulnerable Driver, útok pomocí zranitelného či škodlivého ovladače. Kromě nástrojů, které vypínají EDR, experti identifikovali také nástroj určený ke krádeži přihlašovacích údajů, který nazvali OxideHarvest, a za jehož vývojem stojí jeden z partnerů gangu Gentlemen.
Bezpečnostní experti z ESETu doposud identifikovali osm odlišných variant systému GentleKiller, z nichž každá se vydává za jiný legitimní program a zneužívá odlišný zranitelný nebo škodlivý ovladač. Navzdory těmto rozdílům však ESET všechny tyto vzorky klasifikuje pod označením GentleKiller, a to kvůli vysokému počtu sdílených interních znaků.
Článek ESET software spol. s r. o. ze dne pátek 3. července 2026
Ransomwarový gang Gentlemen využívá pro obcházení zabezpečení EDR killery
Český ESET se podílel na zásahu proti botnetu Amadey a infostealeru Stealc
Jak přemýšlíme nad volbou operačního systému svého telefonu v kontextu kybernetické bezpečnosti
Finančními výsledky české pobočky ESET za rok 2025
ESET vstupuje do strategického partnerství s NATO
ESET investuje do inovací v oblasti AI
Modulární řešení ESET PRIVATE pro velké firmy, vládní sektor a kritickou infrastrukturu
Nové funkce v platformě ESET PROTECT pro bezpečné firemní používání AI nástrojů
Malware NGate zneužívá NFC při kyberútocích v Česku stále častější
eCrime reporty o kybernetické kriminalitě
Akční nabídka kybernetické ochrany ESET pro domácnosti a koncové uživatele
Platforma ESET PROTECT minimalizuje rizika kybernetických hrozeb
Jak Češi využívají komunikační platformy
Malware PromptSpy pro platformu Android zneužívá generativní AI
Pražská výzkumná pobočka ESET slaví 15 let
ESET komentuje zpřístupnění dat uživatelů sociální sítě Moltbook pro AI agenty
Polský energetický sektor byl cílem ruských hackerů
Ransomwarová scéna ve světě a Česku za rok 2025
Předpověď kybernetických hrozeb pro rok 2026
Chytré telefony na svátky odkládáme a preferujeme fyzické dárky
Roste obliba online nákupů ze zemí EU a Asie
Analýza phishingových útoků na Českou republiku
Výrobci dronů v Evropě čelí útokům severokorejských hackerů
Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů
ESET posiluje nabídku řešení pro domácnosti
Windows 10 aktuálně využívá třetina českých uživatelů
APT skupiny s napojením na ruskou FSB zaútočili na vysoce postavené cíle na Ukrajině
Ransomware PromptLock řídí umělá inteligence
Tři roky ochrany v online světě za cenu dvou let pro domácnosti i firmy
ESET se zapojuje do programu CIEP v boji proti kyberkriminalitě
ESET posiluje investice do výzkumu a vývoje
Chytrý telefon je přirozenou součástí letního cestování
Jan Urbík - nový Country manažer ESET v České republice
Růst zájmu o služby spravované detekce a reakce ESET MDR
Jak se vyhnout kybernetickým rizikům během letních festivalů
ESET věnuje tři miliony eur na projekt lorAI - Low Resource AI
Phishingové útoky jsou nedílnou součástí kybernetických rizik
Zpráva o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby
Pozor na kybernetická rizika při nákupu kryptoměn
Změny v ekosystému ransomwarových gangů
Platforma ESET PROTECT posiluje kybernetickou bezpečnost firem
Útočná skupina DeceptiveDevelopment cílí na vývojáře softwaru
Jak bezpečně stahovat a spravovat aplikace v chytrém mobilním telefonu
Michal Červenka - nový marketingový ředitel české pobočky ESET
ESET Threat Report H2 2024 analyzuje globální vývoj kybernetických hrozeb
Roste obliba nákupů prostřednictvím chytrého telefonu a mimo klasické české e-shopy
ESET objevil zranitelnosti v produktech Mozilla a Windows