logo ESET software spol. s r. o.

Ransomwarový gang Gentlemen využívá pro obcházení zabezpečení EDR killery

Od začátku roku 2026 se útočníci z gangu Gentlemen zařadili mezi nejaktivnější skupiny v ekosystému operátorů ransomwaru. Skupina se od ostatních odlišuje pokročilou sadou nástrojů pro obcházení detekce a reakce na koncových zařízeních (EDR). Na rozdíl od většiny dalších předních gangů se Gentlemen nezaměřuje primárně na oběti v USA. Mimo Thajsko, Brazílii či Francii útočníci operují také v České republice.

Skupina funguje jako RaaS (ransomware-as-a-service), což je model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům.

"V posledních měsících se objevovalo několik různých analýz ransomwarového gangu Gentlemen, nezaměřovaly se nicméně na detailní popis jeho nástrojů pro vypínání EDR. ESET má kontinuální vhled do incidentů spojovaných s tímto gangem, a může tak poskytnout jedinečný a komplexní obraz o tom, jak skupina EDR killery vyvíjí a používá. Gang navíc v květnu 2026 zasáhl únik interních dat, díky kterému jsme získali další cenné informace o jeho fungování. V únoru 2026 jsme detekovali poměrně unikátní sadu nástrojů k vypínání zabezpečení v rukou gangu Gentlemen. Už tehdy jsme s vysokou pravděpodobností předpokládali, že nástroje jsou spravovány a z velké části také vyvíjeny přímo vedením gangu. Nedávno uniklá data nám tuto hypotézu definitivně potvrdila. Sadu nástrojů, které gang sám vyvíjí, jsme souhrnně označili jako GentleKiller. Z pohledu obrany nám pochopení toho, jak funguje GentleKiller, umožňuje lépe navrhnout naše obranné strategie a bránit se i proti dosud nevyvinutým nástrojům v arzenálu gangu Gentlemen," říká Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET, který se specializuje na monitorování mezinárodní kyberkriminality.

Neobvyklé geografické zacílení

Ransomwarový gang Gentlemen se objevil na konci roku 2025. Rychle se vypracoval mezi nejaktivnější ransomwarové skupiny pozorované během 1. čtvrtletí roku 2026. Skupina nabízí svým partnerům velkorysý podíl ve výši 90 % zisků z operací. Gentlemen své oběti vydírá dvojím způsobem - kromě šifrování dat také vyhrožuje jejich zveřejněním, pokud oběť nezaplatí výkupné.

Útočníci ze skupiny Gentlemen se od ostatních velkých hráčů odlišují. Jednou z těchto odlišností je jejich ochota poskytnout svým partnerům několik nástrojů k různým účelům - kromě nástroje pro šifrování také nástroje k obcházení EDR. Výběr cílů většinou zajišťují partneři gangů, přičemž u ostatních velkých ransomwarových gangů převažuje jeden vzorec, a to výrazné a dlouhodobé zacílení na oběti v USA.

Tyto oběti často tvoří přibližně polovinu všech zveřejněných obětí útoků ransomwarem. Gentlemen jsou opět výraznou výjimkou. Ačkoli se za 1. čtvrtletí roku 2026 řadí mezi pět nejaktivnějších ransomwarových skupin, cílí konzistentně na oběti napříč širokým a geograficky různorodým spektrem zemí.

Významná část obětí pochází z regionů, jako jsou jihovýchodní Asie, Jižní Amerika a západní Evropa, podle informací bezpečnostních expertů ale gang operuje také v Česku.

Aktuálně je na veřejných stránkách ransomwarových skupin evidováno již 20 českých obětí od začátku roku 2026, přičemž za celý minulý rok jich bylo 22. Převažují u nás oběti z oblasti výroby, technologického sektoru a obchodu.

Unikátní sada nástrojů a postupů

Skupina dále také využívá nástroje, které jí poskytují třetí strany nebo uniknou na dark web. Jde např. o nástroje, které ESET označuje jako HexKiller, ThrottleBlood a HavocKiller. Všechny EDR killery skupiny Gentlemen, ať už vyvinuté či získané odjinud, spojuje společná strategie, jak uniknout pozornosti obránců. Útočníci je vydávají převážně za legitimní bezpečnostní software pomocí falešných informací, jako jsou verze programu či kopie certifikátů a ikon.

Útočníci z gangu Gentlemen zároveň dokáží neobvykle rychle uvést do praxe postupy, které bývají do té doby jen tzv. proof of concept, a to v řádech několika dní od jejich zveřejnění.

Často se jedná o scénáře typu Bring Your Own Vulnerable Driver, útok pomocí zranitelného či škodlivého ovladače. Kromě nástrojů, které vypínají EDR, experti identifikovali také nástroj určený ke krádeži přihlašovacích údajů, který nazvali OxideHarvest, a za jehož vývojem stojí jeden z partnerů gangu Gentlemen.

Bezpečnostní experti z ESETu doposud identifikovali osm odlišných variant systému GentleKiller, z nichž každá se vydává za jiný legitimní program a zneužívá odlišný zranitelný nebo škodlivý ovladač. Navzdory těmto rozdílům však ESET všechny tyto vzorky klasifikuje pod označením GentleKiller, a to kvůli vysokému počtu sdílených interních znaků.

Další články k tématům - EDR - Gentlemen - GentleKiller - ransomware - RaaS - šifrování - výkupné - Jakub Souček

Článek ESET software spol. s r. o. ze dne pátek 3. července 2026

Další články od ESET software spol. s r. o.

Ransomwarový gang Gentlemen využívá pro obcházení zabezpečení EDR killery

Český ESET se podílel na zásahu proti botnetu Amadey a infostealeru Stealc

Jak přemýšlíme nad volbou operačního systému svého telefonu v kontextu kybernetické bezpečnosti

Finančními výsledky české pobočky ESET za rok 2025

ESET vstupuje do strategického partnerství s NATO

ESET investuje do inovací v oblasti AI

Modulární řešení ESET PRIVATE pro velké firmy, vládní sektor a kritickou infrastrukturu

Nové funkce v platformě ESET PROTECT pro bezpečné firemní používání AI nástrojů

Malware NGate zneužívá NFC při kyberútocích v Česku stále častější

eCrime reporty o kybernetické kriminalitě

Akční nabídka kybernetické ochrany ESET pro domácnosti a koncové uživatele

Platforma ESET PROTECT minimalizuje rizika kybernetických hrozeb

Jak Češi využívají komunikační platformy

Malware PromptSpy pro platformu Android zneužívá generativní AI

Pražská výzkumná pobočka ESET slaví 15 let

ESET komentuje zpřístupnění dat uživatelů sociální sítě Moltbook pro AI agenty

Polský energetický sektor byl cílem ruských hackerů

Ransomwarová scéna ve světě a Česku za rok 2025

Předpověď kybernetických hrozeb pro rok 2026

Chytré telefony na svátky odkládáme a preferujeme fyzické dárky

Roste obliba online nákupů ze zemí EU a Asie

Analýza phishingových útoků na Českou republiku

Výrobci dronů v Evropě čelí útokům severokorejských hackerů

Malware se maskuje za aplikaci ČNB, útočníci pak pomocí NFC technologie vybírají peníze z bankomatů

ESET posiluje nabídku řešení pro domácnosti

Windows 10 aktuálně využívá třetina českých uživatelů

APT skupiny s napojením na ruskou FSB zaútočili na vysoce postavené cíle na Ukrajině

Ransomware PromptLock řídí umělá inteligence

Tři roky ochrany v online světě za cenu dvou let pro domácnosti i firmy

ESET se zapojuje do programu CIEP v boji proti kyberkriminalitě

ESET posiluje investice do výzkumu a vývoje

Chytrý telefon je přirozenou součástí letního cestování

Jan Urbík - nový Country manažer ESET v České republice

Růst zájmu o služby spravované detekce a reakce ESET MDR

Jak se vyhnout kybernetickým rizikům během letních festivalů

ESET věnuje tři miliony eur na projekt lorAI - Low Resource AI

Phishingové útoky jsou nedílnou součástí kybernetických rizik

Zpráva o aktivitách skupin útočníků zaměřených na pokročilé přetrvávající hrozby

Pozor na kybernetická rizika při nákupu kryptoměn

Změny v ekosystému ransomwarových gangů

Platforma ESET PROTECT posiluje kybernetickou bezpečnost firem

Útočná skupina DeceptiveDevelopment cílí na vývojáře softwaru

Jak bezpečně stahovat a spravovat aplikace v chytrém mobilním telefonu

Michal Červenka - nový marketingový ředitel české pobočky ESET

ESET Threat Report H2 2024 analyzuje globální vývoj kybernetických hrozeb

Roste obliba nákupů prostřednictvím chytrého telefonu a mimo klasické české e-shopy

ESET objevil zranitelnosti v produktech Mozilla a Windows

Češi podceňují bezpečnost při zálohování svých dat

Aktualizace ESET HOME Security reaguje na růst počtu pokročilých a automatizovaných hrozeb na internetu

Organizovaná síť podvodníků cílí na ubytovací platformy