Správa CPR detailne opisuje pôsobenie skupiny The Gentlemen, ktorá ponúkala ransomvér ako službu. Skupina rýchlo získava na popularite, priťahuje množstvo partnerov a verejne deklaruje viac než 320 obetí, pričom väčšina útokov 240 sa odohrala v prvých mesiacoch roku 2026.
Tím CPR ukazuje nábor skupiny v podsvetí, model únikového webu (leak site), vyjednávania cez Tox a infraštruktúru proxy SystemBC, ktorá sa využíva na udržanie prístupu a perzistenciu v napadnutých systémoch.
⚠ Francúzska autorita pre identifikačné a registračné dokumenty France Titres zaznamenala bezpečnostný incident. Ohrozené boli mená, dátumy narodenia, e-mailové adresy, prihlasovacie identifikátory a časť fyzických adries a telefónnych čísel.
⚠ Britská výskumná organizácia UK Biobank potvrdila incident po tom, čo anonymizované zdravotné údaje o 500 000 dobrovoľníkoch niekto ponúkal na predaj na čínskych trhoch. Prevádzkovatelia odstránili ponuky a predpokladajú, že k predaju nedošlo.
⚠ Správca hesiel Bitwarden zaznamenal kompromitáciu dodávateľského reťazca po zverejnení škodlivej verzie CLI nástroja na npm. Verziu 2026.4.0 si počas krátkeho okna nainštalovalo 334 vývojárov, čo mohlo viesť k úniku prihlasovacích údajov.
AI HROZBY
🤖 Výskumníci upozornili na neoprávnený prístup k Claude Mythos Preview. Prístup prebehol cez prostredie externého dodávateľa. Malá skupina na Discorde využila zdieľané účty kontraktorov, API kľúče a predvídateľné URL na prístup do systému. Spoločnosť Anthropic uviedla, že situáciu preveruje a nevidí dopad na kľúčové systémy.
🤖 Platforma Bissa Scanner využíva AI nástroje Claude Code a OpenClaw na hromadné skenovanie, zneužívanie zraniteľností a zber prihlasovacích údajov. Operácia cieli najmä na zraniteľnosť React2Shell (CVE-2025-55182).
ZÁPLATY A ZRANITEĽNOSTI
❗️ Microsoft vydal mimoriadne opravy zraniteľnosti CVE-2026-40372, kritickej chyby v ASP.NET Core s hodnotením CVSS 9,1. Chyba v Data Protection verziách 10.0.0 až 10.0.6 umožňovala útočníkom falšovať cookies a bezpečnostné tokeny, vydávať sa za používateľov a získať oprávnenia na úrovni SYSTEM v nasadeniach na Linuxe alebo macOS.
❗️ Apple vydal opravy zraniteľnosti CVE-2026-28950 v systémoch iOS a iPadOS. Chyba v službe notifikácií uchovávala odstránené upozornenia a umožňovala obnoviť citlivé náhľady správ. Zraniteľnosť zasahovala množstvo modelov iPhone a iPad a umožňovala prístup k údajom pri fyzickom držaní zariadenia, pričom mohla sprístupniť aj správy z aplikácií s end-to-end šifrovaním.
❗️ Routre D-Link DIR-823X obsahujú zraniteľnosť CVE-2025-29635, ktorá umožňuje vzdialené spustenie kódu. Útočníci chybu zneužívajú na nasadenie botnetu založeného na Mirai. Spoločnosť Akamai uvádza, že útočníci posielajú požiadavky, ktoré stiahnu a spustia škodlivé skripty. Tie následne zapoja zariadenia do DDoS útokov. Pre tieto modely sa už neočakávajú žiadne opravy.
EN verzia: https://research.checkpoint.com/2026/27th-april-threat-intelligence-report