DATASYS

Edge zařízení jsou pro útočníky lákavý cíl. Firewall běží 24/7, má vysoká oprávnění a často na něm neběží stejné dohledové vrstvy jako na běžných stanicích.

Unit 42 popsala zero day CVE-2026-0300 v PAN OS v části User ID Authentication Portal, takzvaném Captive Portalu. Zranitelné systémy umožňují neautentizovanému útočníkovi vzdáleně spustit kód s root oprávněním na PA Series a VM Series firewallech.

Zneužívání má být zatím omezené, ale po průniku se objevily typické kroky vyspělých aktérů, tunelovací nástroje jako EarthWorm a ReverseSocks5, práce s Active Directory a mazání logů a stop.

Prakticky je nejdůležitější ověřit, jestli je Captive Portal vystavený do internetu. Pokud ano, riziko roste výrazně. Dává smysl omezit ho jen na důvěryhodné interní adresy nebo ho vypnout, pokud není potřeba, a co nejrychleji aplikovat doporučená opatření a aktualizace.

V Česku a na Slovensku výrazně roste typ útoku, který kombinuje telefonickou manipulaci a zneužití NFC. Podle ESETu měl malware NGate v prvních čtyřech měsících roku 2026 víc detekcí než za celý rok 2025 a meziročně jde zhruba o patnáctinásobný nárůst.

Útok není „samovirový“, potřebuje spolupráci oběti. Typicky začne telefonátem, kde se útočník vydává za banku nebo instituci, vytvoří tlak a navede člověka k instalaci aplikace mimo běžnou cestu. Někdy k tomu použije i legitimní nástroj pro vzdálený přístup, aby měl telefon pod kontrolou.

Pak přijde klíčový moment, oběť je vyzvána přiložit platební kartu k telefonu a zadat PIN. Právě to útočníci potřebují ke zneužití NFC. ESET zároveň upozorňuje, že nejde o izolované pokusy, většina vzorků komunikovala se stejným serverem a sbírala stejný typ dat.

Základní pravidla jsou jednoduchá. Neinstalovat aplikace na základě telefonátu, nikdy nepřikládat kartu k telefonu na výzvu volajícího nebo neznámé aplikace a nezadávat PIN do aplikace. NFC má smysl nechávat zapnuté jen tehdy, když ho člověk skutečně používá.

Česká republika má znovu národní šifrovací prostředek, který obstál i na evropské úrovni. NÚKIB ve spolupráci se společností S.ICZ úspěšně dokončil duální hodnocení kryptografického produktu LANPCS RG3, určeného pro ochranu utajovaných informací stupně EU Restricted.

Duální hodnocení je náročný proces, protože produkt se posuzuje současně na národní i evropské úrovni. Nejde tedy jen o formální razítko, ale o prověření, že řešení splňuje přísné požadavky evropského bezpečnostního rámce a je použitelné i v praxi.

Důležitá je i širší pointa. Ochrana utajovaných informací už dnes není o izolovaných počítačích bez připojení a papírech v trezoru. Organizace potřebují pracovat týmově, efektivně a digitálně, a přitom držet odpovídající úroveň zabezpečení. Právě certifikované kryptografické prostředky jsou jedním z klíčových stavebních kamenů, jak tuhle rovnováhu zvládnout už při návrhu systémů.

Takový výsledek zároveň posiluje důvěryhodnost Česka mezi evropskými partnery a ukazuje, že když se propojí státní správa a soukromý sektor, může vzniknout řešení, které obstojí i v nejpřísnějším režimu.

Ukládat hesla přímo v prohlížeči je pohodlné, ale ve firmách to může být zbytečné riziko. Bezpečnostní výzkumník upozornil, že Microsoft Edge má podle jeho zjištění načítat uložená hesla do paměti procesu v čitelné podobě i ve chvíli, kdy je uživatel aktivně nepoužívá.

To ukazuje rozdíl mezi ochranou na disku a ochranou za běhu. Soubor s hesly může být šifrovaný, ale pokud jsou přihlašovací údaje v paměti aplikace jako plaintext, útočník s lokálním přístupem nebo malwarem nemusí obcházet žádné šifrování, stačí mu číst paměť.

Největší problém je to ve sdílených prostředích, jako jsou terminálové servery, VDI nebo Citrix. Jeden kompromitovaný administrátorský účet tam může znamenat přístup k relacím více uživatelů a tím i k jejich uloženým pracovním přístupům.

Pro firmy z toho plyne jednoduché doporučení. Zvážit zákaz ukládání hesel do prohlížeče, vyčistit už uložené údaje, používat spravovaný password manager a mít zapnuté vícefaktorové ověřování všude, kde to jde.

Zálohy dlouho platily jako poslední záchranná brzda. Když útočníci zašifrují servery, obnoví se data z poslední čisté kopie a jde se dál. Jenže moderní ransomware s tím počítá. Proto útočníci stále častěji nejdřív hledají zálohovací infrastrukturu a snaží se ji poškodit nebo zničit ještě před samotným šifrováním.

Typický scénář dnes vypadá tak, že útočník nejprve získá přístup, ukradne přihlašovací údaje, pohybuje se po síti a mapuje, kde jsou zálohy, snapshoty a možnosti obnovy. Teprve potom přijde finále, šifrování a vydírání. Pro oběť je to zásadní rozdíl. Zálohy sice existují, ale jsou dostupné ze stejného prostředí, přes stejné účty, bez ochrany proti smazání a ve chvíli incidentu už nejsou použitelné.

Právě proto dnes nestačí říct „zálohujeme“. Důležitější otázky jsou, kdo se k zálohám dostane, jestli je lze smazat nebo přepsat, jestli jsou oddělené od produkce a jestli je organizace pravidelně testuje obnovou. Velkou roli tu hrají i neměnné zálohy, tedy takové, které po určitou dobu nejdou upravit ani odstranit, a offline kopie, které nejsou dosažitelné z napadené sítě.

Poučení je jednoduché. Zálohování už není jen IT rutina. Je to součást obrany proti útoku a musí být chráněné stejně důsledně jako produkční systémy. Protože u ransomware incidentu už klíčová otázka nezní, zda firma zálohuje, ale jestli její zálohy přežijí samotný útok.

Umělá inteligence umí během vteřiny vytvořit heslo, které vypadá dokonale. Délka sedí, jsou tam velká a malá písmena, čísla i znaky. A člověk má pocit, že tím problém vyřešil.

Jenže podle průzkumu firmy Irregular pro Sky News je to přesně ten háček. Modely jako ChatGPT, Claude nebo Gemini prý nevytvářejí hesla náhodně, ale skládají je podle vzorců, které mají v datech. Výsledek může být na pohled „silný“, ale zároveň předvídatelnější, než bychom čekali. A pokud je heslo předvídatelné, dá se při útoku výrazně rychleji uhodnout nebo prolomit.

Proto dává smysl držet se klasiky. Hesla generovat přes důvěryhodný správce hesel, který používá bezpečný generátor náhodnosti, a mít pro každou službu jiné heslo. K tomu zapnout vícefaktorové ověření všude, kde to jde, protože i nejlepší heslo může jednou uniknout.

A pokud to služba umožňuje, přechod na passkeys je dnes jedna z nejlepších cest, jak se z kolotoče hesel postupně dostat. Vypadá to jako malý detail, ale v praxi to často rozhoduje, jestli se útočník do účtu dostane, nebo narazí.

AI útoky v cloudu už nejsou jen teorie do prezentací. Unit 42 popisuje, jak postavili testovací systém složený z několika AI „agentů“, který měl jediný úkol. Dostat se v prostředí Google Cloudu k citlivým datům a zkopírovat je ven. V laboratorních podmínkách to zvládl téměř samostatně, od začátku až do konce.

Nejdůležitější zjištění je, že AI obvykle nevymýšlí úplně nové díry. Funguje spíš jako urychlovač. Umí extrémně rychle využít chyby, které v cloudu vznikají běžně, špatně nastavené přístupy, příliš široká oprávnění, nebo služby, které jsou dostupné víc, než by měly být. Jednotlivě to často nevypadá dramaticky, ale když se tyto drobnosti poskládají za sebe, vznikne z nich cesta k vážnému problému.

V jejich scénáři systém nejdřív zmapoval prostředí, našel slabé místo ve webové aplikaci, přes které se dostal k přístupovým údajům, pak si ověřil, k čemu všemu má v cloudu oprávnění, a nakonec se dostal až k databázím v BigQuery a data z nich vyvedl ven. Ne kouzly, ale tím, že ty kroky skládal rychleji, důsledněji a bez únavy.

Poučení pro praxi je jednoduché. Cloud je pro automatizované útoky ideální, protože většina věcí se dá dělat přes rozhraní a skripty. Pokud se obrana opírá hlavně o ruční kontrolu a reakci v řádu hodin, bude čím dál častěji pozdě. Klíčové je pravidelně kontrolovat přístupy a oprávnění, omezit zbytečně otevřené služby a mít dohled, který umí zachytit podezřelé chování v reálném čase, ne až při zpětném vyšetřování.

Na Androidu se pořád opakuje stejný vzorec. Útočníci nejčastěji nesází na složité triky, ale na škodlivé verze mobilních her a aplikací mimo ověřené zdroje. A v březnu to podle analýzy ESET nejvíc odneslo Polsko a Česká republika.

V čele statistik zůstala rodina Hiddad, tedy reklamní malware šířený hlavně přes falešné verze her. Útočníci opět použili stejnou návnadu jako dřív, škodlivou verzi hry Shadow Fight 2. To často ukazuje, že lidé podceňují varovné signály a adware berou jako „jen otravnou reklamu“. Jenže adware může být první krok. Přesměruje na nebezpečné stránky, stáhne další malware nebo sbírá informace pro cílenější útok.

Rizikem zůstává i Agent.FNM, malware maskovaný za streamovací aplikace. Tady už nejde jen o data z telefonu. Napadené zařízení může skončit v botnetu a být zneužité k dalším útokům, včetně rizika pro sítě, do kterých se telefon připojuje doma nebo v práci.

Praktické poučení je pořád stejné. Stahovat aplikace jen z oficiálních obchodů, vyhýbat se „upraveným“ a „premium“ verzím, sledovat recenze a brát mobil jako plnohodnotný cíl útoků, ne jako vedlejší zařízení.

Březnový přehled NÚKIB je dobrá připomínka, že „méně incidentů“ automaticky neznamená „klidnější měsíc“. NÚKIB v březnu evidoval celkem 20 kybernetických incidentů a druhý měsíc pokračoval klesající trend směrem k dlouhodobému průměru.

Současně ale narostla závažnost. V březnu NÚKIB evidoval 4 významné incidenty, což je nejvyšší hodnota za poslední rok. Tohle je přesně ten moment, kdy se vyplatí dívat se na kvalitu a dopad, ne jen na počet.

Z hlediska typů incidentů dominoval druhý měsíc v řadě průnik a tvořil víc než polovinu všech evidovaných případů. DDoS útoky zůstaly po lednovém nárůstu naopak na velmi nízkých hodnotách. Kromě toho NÚKIB evidoval i případy škodlivého kódu, úniku informací a phishingu.

A ještě jedna drobnost, která stojí za pozornost. Březen byl už třetí měsíc v řadě, kdy NÚKIB neevidoval úspěšný ransomwarový útok. Neznamená to, že ransomware zmizel, ale že část obrany nebo štěstí tentokrát zafungovaly dřív, než došlo na „finále“.

Poučení do praxe je jednoduché. Pokud vám v prostředí rostou průniky, řešte hlavně to, kudy se útočník dostává dovnitř, jak rychle to umíte detekovat a jak rychle umíte zavřít okno mezi prvním přístupem a reálným dopadem.

Útok na organizaci někdy nezačíná e mailem ani serverem. Začne nenápadně v rohu kanceláře, na routeru, který se roky neměnil a pořád běží na výchozím nastavení.

Podle informací amerických úřadů měl ruský státní aktér APT28 budovat globální síť kompromitovaných SOHO routerů a využívat je pro kyberšpionáž. V jednom z popsaných scénářů šlo o zneužití zranitelnosti u modelu TP Link TL WR841N, která umožňuje obejít autentizaci a upravit konfiguraci zařízení.

Nejzajímavější část je, co potom. Útočník změnil nastavení DHCP a DNS tak, aby provoz zařízení v síti směřoval na jím kontrolované DNS servery. Tím získal možnost sledovat, kam uživatelé chodí, a u vybraných služeb vracet podvržené odpovědi. Prakticky si tak připravil prostor pro útok typu adversary in the middle a mohl se dostat k heslům, tokenům a dalším citlivým údajům i tam, kde se běžně spoléhá na šifrování.

Tohle je připomínka, že domácí a malé kancelářské prvky nejsou „méně důležité“. Naopak. Kdo ovládá DNS cestu, často ovládá i to, co uživatel vidí a kam se připojuje.

Co z toho plyne pro praxi. Pokud je router na konci životnosti a nedostává aktualizace, je to bezpečnostní dluh a často nejlevnější je výměna. Minimem je aktuální firmware, změna výchozích přihlašovacích údajů a vypnutí nebo omezení vzdálené správy z internetu. A pokud prohlížeč nebo poštovní klient začne varovat na neplatné certifikáty, není to otrava, ale jeden z mála signálů, že se něco děje na cestě mezi vámi a službou.