Чехия под прицелом: три мировых хакерских группировки атакуют страну одновременно
5 мая 2026
09:00
Чешская Республика сталкивается с количеством кибератак, превышающим средний показатель по Европе на 20%.
В 2025 году атаки с использованием программ-вымогателей привели к 6 937 жертвам по всему миру, то есть на 1 700 больше, чем в 2024 году. На Чехию нацелена тройка ведущих группировок, действующих по модели RaaS (Ransomware-as-a-Service): Gentlemen, Akira и Qilin. Последние две из них ответственны за 10% проанализированных атак в мире.
В 2026 году Чешская Республика оказалась под значительно усиливающимся давлением атак с использованием программ-вымогателей. Компания ESET зафиксировала в своих данных резкий рост числа случаев, что подтверждается и тем, что только в первом квартале 2026 года на публичных сайтах групп, занимающихся вымогательством выкупа, было зарегистрировано уже 12 чешских жертв — вдвое больше, чем за тот же период 2025 года (6 жертв).
Ситуация в стране отражает тревожную глобальную тенденцию: согласно данным отчета ESET Threat Report H2 2025, в 2025 году вымогатели по всему миру похитили 6 937 жертв, что превысило общий показатель 2024 года более чем на 1 700 случаев.
Три ведущих мировых преступных группировки действуют в Чехии
Эксперты компании ESET выявили три группы, которые в настоящее время наиболее активно атакуют чешские организации: Gentlemen, Akira и Qilin. Все три группировки работают по модели Ransomware-as-a-Service (RaaS) — они самостоятельно разрабатывают вредоносное ПО и распространяют его через обширную сеть партнеров, которые осуществляют атаки по всему миру. Согласно данным отчета ESET Threat Report H2 2025, на долю группировок Akira и Qilin приходится примерно по 10 % всех проанализированных атак с использованием вымогательского ПО, причем во втором полугодии 2025 года Qilin стала доминирующим игроком на всей сцене вымогательского ПО после краха группы RansomHub.
Особого внимания заслуживает группа Gentlemen, у которой ESET зафиксировал резкий рост активности в первом квартале 2026 года. Эта группа постоянно совершенствует свой арсенал и располагает обширной глобальной сетью партнеров.
«Группа Gentlemen является одной из самых активных вымогательских организаций на сегодняшний день. В первом квартале этого года мы зафиксировали ее значительно возросшую активность и в чешской цифровой инфраструктуре. Тот факт, что три наиболее активные в мире RaaS-группы одновременно нацелены на Чешскую Республику, ясно показывает, что наша страна становится все более привлекательной целью для злоумышленников. При этом речь не идет о сложных атаках «нулевого дня» — в подавляющем большинстве случаев злоумышленники используют совершенно базовые уязвимости, которые можно относительно легко устранить. «Слабые пароли, не обновленные системы и открытые RDP-порты остаются основными точками входа даже для самых опасных группировок», — говорит Якуб Соучек, руководитель исследовательской группы в пражском филиале компании ESET.
EDR-киллеры как новый стандарт
Ключевой тенденцией, которую компания ESET зафиксировала уже в конце прошлого 2025 года и влияние которой проявляется и в чешской среде, является массовое распространение так называемых EDR-киллеров. Речь идет о специализированных инструментах, разработанных для деактивации или полного отключения программного обеспечения безопасности, установленного на зараженных устройствах. Только за последние три месяца 2025 года эксперты по безопасности из ESET обнаружили более дюжины новых инструментов этого типа, используемых, в частности, партнерами групп Akira, Gentlemen и Qilin.
Наиболее распространенным методом внедрения EDR-киллеров является техника BYOVD (Bring Your Own Vulnerable Driver). Злоумышленник внедряет в систему жертвы легитимный, но уязвимый драйвер, через который затем на уровне ядра операционной системы нарушает процессы безопасности. Одновременно растет число случаев злоупотребления легитимными инструментами удаленного управления (RMM), такими как AnyDesk, MeshAgent или SimpleHelp — их неожиданное присутствие в сети должно поэтому немедленно вызвать проверку безопасности.
Параллельно с этим злоумышленники уже повсеместно используют так называемую модель двойного вымогательства: данные сначала похищаются, а уже потом шифруются. Затем жертву шантажируют не только угрозой потери данных, но и их обнародованием, сообщает компания ESET.
Под угрозой малые и средние предприятия, производственные и технологические компании
В Чешской Республике банды, занимающиеся вымогательством выкупа, нацелены в первую очередь на малые и средние предприятия (МСП). Этот сегмент привлекателен для злоумышленников. Как правило, такие компании имеют ограниченные возможности в области кибербезопасности, последствия сбоев в работе систем более серьезны для их деятельности, а вероятность уплаты выкупа выше. Согласно данным отчета ESET Threat Report H2 2025, в глобальном масштабе наиболее затронутыми отраслями являются производство, строительство, розничная торговля, технологии и здравоохранение — отрасли с высокой зависимостью от непрерывной работы ИТ-систем.
В Чехии преобладают жертвы из сферы производства, технологического сектора и торговли. Каждый час простоя здесь приносит прямые финансовые потери, и клиенты немедленно ощущают на себе последствия. Группы, занимающиеся вымогательством выкупа, рассчитывают на эти последствия и способны требовать выкуп в размере нескольких миллионов.
Как защититься: рекомендации и конкретные шаги
Эксперты по безопасности из компании ESET неоднократно подтверждают, что подавляющее большинство атак с использованием вымогательского ПО не использует сложные уязвимости «нулевого дня». Согласно данным отчета ESET Threat Report, подбор паролей составляет более 42% всех внешних векторов проникновения. С помощью приведенных ниже мер компании могут заблокировать подавляющее большинство реальных атак:
— Пересмотр политик паролей и внедрение MFA: слабые или повторно используемые пароли остаются наиболее распространенным входным шлюзом для атак с использованием вымогательского ПО. Многофакторная аутентификация (MFA) способна остановить подавляющее большинство попыток проникновения до того, как произойдет доступ к системе.
— Аудит устройств, подключенных к Интернету: в частности, VPN, RDP и открытых интерфейсов администрирования. Попытки подбора паролей и использование уязвимостей VPN на протяжении долгого времени входят в тройку наиболее распространенных векторов атак. Все устройства должны быть обновлены и правильно настроены.
— Охват всех конечных точек решением безопасности: серверы управления правами доступа и аутентификации являются ключевой целью для злоумышленников — их компрометация фактически означает полный контроль над всей сетью. Программное обеспечение безопасности должно быть развернуто без исключения на всех устройствах.
— Активное реагирование на уведомления о безопасности: многие атаки оставляют в системах следы за часы или дни до шифрования. Игнорируемые уведомления — это упущенный шанс остановить атаку. Особое внимание уделяйте неожиданному появлению инструментов для удаленного управления (AnyDesk, MeshAgent).
— Функциональность и изоляция резервных копий: резервные копии должны быть физически и логически отделены от производственной сети — злоумышленники целенаправленно ищут и шифруют или уничтожают даже резервные системы. Резервные копии необходимо регулярно тестировать и проверять их восстанавливаемость.
Ситуация в стране отражает тревожную глобальную тенденцию: согласно данным отчета ESET Threat Report H2 2025, в 2025 году вымогатели по всему миру похитили 6 937 жертв, что превысило общий показатель 2024 года более чем на 1 700 случаев.
Три ведущих мировых преступных группировки действуют в Чехии
Эксперты компании ESET выявили три группы, которые в настоящее время наиболее активно атакуют чешские организации: Gentlemen, Akira и Qilin. Все три группировки работают по модели Ransomware-as-a-Service (RaaS) — они самостоятельно разрабатывают вредоносное ПО и распространяют его через обширную сеть партнеров, которые осуществляют атаки по всему миру. Согласно данным отчета ESET Threat Report H2 2025, на долю группировок Akira и Qilin приходится примерно по 10 % всех проанализированных атак с использованием вымогательского ПО, причем во втором полугодии 2025 года Qilin стала доминирующим игроком на всей сцене вымогательского ПО после краха группы RansomHub.
Особого внимания заслуживает группа Gentlemen, у которой ESET зафиксировал резкий рост активности в первом квартале 2026 года. Эта группа постоянно совершенствует свой арсенал и располагает обширной глобальной сетью партнеров.
«Группа Gentlemen является одной из самых активных вымогательских организаций на сегодняшний день. В первом квартале этого года мы зафиксировали ее значительно возросшую активность и в чешской цифровой инфраструктуре. Тот факт, что три наиболее активные в мире RaaS-группы одновременно нацелены на Чешскую Республику, ясно показывает, что наша страна становится все более привлекательной целью для злоумышленников. При этом речь не идет о сложных атаках «нулевого дня» — в подавляющем большинстве случаев злоумышленники используют совершенно базовые уязвимости, которые можно относительно легко устранить. «Слабые пароли, не обновленные системы и открытые RDP-порты остаются основными точками входа даже для самых опасных группировок», — говорит Якуб Соучек, руководитель исследовательской группы в пражском филиале компании ESET.
EDR-киллеры как новый стандарт
Ключевой тенденцией, которую компания ESET зафиксировала уже в конце прошлого 2025 года и влияние которой проявляется и в чешской среде, является массовое распространение так называемых EDR-киллеров. Речь идет о специализированных инструментах, разработанных для деактивации или полного отключения программного обеспечения безопасности, установленного на зараженных устройствах. Только за последние три месяца 2025 года эксперты по безопасности из ESET обнаружили более дюжины новых инструментов этого типа, используемых, в частности, партнерами групп Akira, Gentlemen и Qilin.
Наиболее распространенным методом внедрения EDR-киллеров является техника BYOVD (Bring Your Own Vulnerable Driver). Злоумышленник внедряет в систему жертвы легитимный, но уязвимый драйвер, через который затем на уровне ядра операционной системы нарушает процессы безопасности. Одновременно растет число случаев злоупотребления легитимными инструментами удаленного управления (RMM), такими как AnyDesk, MeshAgent или SimpleHelp — их неожиданное присутствие в сети должно поэтому немедленно вызвать проверку безопасности.
Параллельно с этим злоумышленники уже повсеместно используют так называемую модель двойного вымогательства: данные сначала похищаются, а уже потом шифруются. Затем жертву шантажируют не только угрозой потери данных, но и их обнародованием, сообщает компания ESET.
Под угрозой малые и средние предприятия, производственные и технологические компании
В Чешской Республике банды, занимающиеся вымогательством выкупа, нацелены в первую очередь на малые и средние предприятия (МСП). Этот сегмент привлекателен для злоумышленников. Как правило, такие компании имеют ограниченные возможности в области кибербезопасности, последствия сбоев в работе систем более серьезны для их деятельности, а вероятность уплаты выкупа выше. Согласно данным отчета ESET Threat Report H2 2025, в глобальном масштабе наиболее затронутыми отраслями являются производство, строительство, розничная торговля, технологии и здравоохранение — отрасли с высокой зависимостью от непрерывной работы ИТ-систем.
В Чехии преобладают жертвы из сферы производства, технологического сектора и торговли. Каждый час простоя здесь приносит прямые финансовые потери, и клиенты немедленно ощущают на себе последствия. Группы, занимающиеся вымогательством выкупа, рассчитывают на эти последствия и способны требовать выкуп в размере нескольких миллионов.
Как защититься: рекомендации и конкретные шаги
Эксперты по безопасности из компании ESET неоднократно подтверждают, что подавляющее большинство атак с использованием вымогательского ПО не использует сложные уязвимости «нулевого дня». Согласно данным отчета ESET Threat Report, подбор паролей составляет более 42% всех внешних векторов проникновения. С помощью приведенных ниже мер компании могут заблокировать подавляющее большинство реальных атак:
— Пересмотр политик паролей и внедрение MFA: слабые или повторно используемые пароли остаются наиболее распространенным входным шлюзом для атак с использованием вымогательского ПО. Многофакторная аутентификация (MFA) способна остановить подавляющее большинство попыток проникновения до того, как произойдет доступ к системе.
— Аудит устройств, подключенных к Интернету: в частности, VPN, RDP и открытых интерфейсов администрирования. Попытки подбора паролей и использование уязвимостей VPN на протяжении долгого времени входят в тройку наиболее распространенных векторов атак. Все устройства должны быть обновлены и правильно настроены.
— Охват всех конечных точек решением безопасности: серверы управления правами доступа и аутентификации являются ключевой целью для злоумышленников — их компрометация фактически означает полный контроль над всей сетью. Программное обеспечение безопасности должно быть развернуто без исключения на всех устройствах.
— Активное реагирование на уведомления о безопасности: многие атаки оставляют в системах следы за часы или дни до шифрования. Игнорируемые уведомления — это упущенный шанс остановить атаку. Особое внимание уделяйте неожиданному появлению инструментов для удаленного управления (AnyDesk, MeshAgent).
— Функциональность и изоляция резервных копий: резервные копии должны быть физически и логически отделены от производственной сети — злоумышленники целенаправленно ищут и шифруют или уничтожают даже резервные системы. Резервные копии необходимо регулярно тестировать и проверять их восстанавливаемость.
ЧИТАЙТЕ ПО ТЕМЕ :
.jpg)