Od Minecraftu ke krádeži milionů, MFA phishing i supply-chain útok: týdenní souhrn z kyberprostoru

Tento týden jsme v krátkém shrnutí epizody CCTV FLASH upozornili na několik klíčových témat: příběh bývalých členů kyberkriminální komunity „The Com“ a projekt The Hacking Games, zatčení prodejce nástroje JokerOTP na zachytávání jednorázových kódů (OTP) pro obcházení MFA, první známý škodlivý Outlook add-in zachycený „v provozu“ (AgreeToSteal), aktivní zneužívání kritické chyby CVE-2026-1731 v produktech BeyondTrust, a dvě české/EU zprávy od NÚKIB: stav ohlašování podle nového kyberzákona a nový evropský rámec pro bezpečnost ICT dodavatelských řetězců.

Od Minecraftu k milionové krádeži: „The Com“ a The Hacking Games

V Manchesteru vystoupili před studenty dva bývalí kyberzločinci a otevřeně popsali, jak snadné je sklouznout do online kriminality přes herní komunity. Jeden z nich, Conor Freeman (26) z Dublinu, byl v roce 2020 odsouzen k trestu odnětí svobody na necelé tři roky za podíl na krádeži kryptoměn v hodnotě cca 2 miliony dolarů; druhý, Ricky Handschumacher (30) z USA, si za stejný případ odpykal čtyři roky. Oba se do „The Com“ dostali přes gaming a později přes dark web fóra.

Akce byla součástí iniciativy podporované řetězcem Co-op a startupem The Hacking Games, který se snaží identifikovat talentované hráče a přesměrovat je do kyberbezpečnosti – například k red teamingu. Zaznělo i varování před toxickou realitou kyberkriminality, kde jsou běžné osobní útoky jako doxing (zveřejnění osobních údajů) a swatting (falešné nahlášení incidentu s cílem vyvolat policejní zásah).

Odkaz: https://www.theguardian.com/technology/2026/feb/08/i-fell-into-it-ex-criminal-hackers-urge-manchester-pupils-to-use-web-skills-for-good

JokerOTP: zatčen další prodejce nástroje na zachytávání MFA kódů

Nizozemská policie zadržela 21letého muže z Dordrechtu, podezřelého z prodeje přístupu k nástroji JokerOTP. Ten automatizoval phishingové scénáře, kdy oběť dostane jednorázový kód (OTP) a ve stejnou chvíli jí zavolá automat, který se vydává za podporu služby a kód z ní vyláká. Přístup byl podle policie nabízen přes Telegram formou licenčních klíčů.

Podle vyšetřovatelů měl JokerOTP během dvou let způsobit minimálně 10 milionů dolarů ztrát a být použit ve více než 28 000 útocích ve 13 zemích. Vyšetřování pokračuje a policie uvádí, že už identifikovala další kupující v Nizozemsku, kteří mají být postupně stíháni.

Odkazy:

• https://www.bleepingcomputer.com/news/security/police-arrest-seller-of-jokerotp-mfa-passcode-capturing-tool/
• https://therecord.media/dutch-police-arrest-man-over-jokerotp-password-stealer

AgreeToSteal: první známý škodlivý Outlook doplněk „v provozu“

Výzkumníci popsali neobvyklý supply-chain útok, kdy byl legitimní Outlook add-in AgreeTo (naposledy aktualizovaný v prosinci 2022) zneužit po tom, co se jeho infrastruktura stala opuštěnou a znovu „claimable“. Útočník převzal adresu/infrastrukturu, na kterou ukazoval manifest doplňku, a začal uživatelům servírovat falešnou Microsoft přihlašovací stránku. Podle Koi Security takto došlo ke krádeži 4 000+ přihlašovacích údajů; data byla exfiltrována přes Telegram Bot API a oběť byla následně přesměrována na legitimní login, aby útok působil nenápadněji.

Důležitý bezpečnostní detail: doplněk měl oprávnění ReadWriteItem, tedy možnost číst a upravovat e-maily. Výzkumníci proto upozornili, že vedle phishingu existoval i potenciál pro výrazně škodlivější scénáře, například tichou exfiltraci obsahu schránky. Microsoft podle následného updatu doplněk k 12. únoru 2026 stáhl z Marketplace a uživatelům se doporučuje doplněk odstranit a preventivně změnit heslo.

Odkazy:

• https://www.koi.ai/blog/agreetosteal-the-first-malicious-outlook-add-in-leads-to-4-000-stolen-credentials
• https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html
• https://www.malwarebytes.com/blog/news/2026/02/outlook-add-in-goes-rogue-and-steals-4000-credentials-and-payment-data

BeyondTrust: kritická RCE (CVE-2026-1731) a potvrzené zneužívání

Bezpečnostní týmy zaznamenaly „in-the-wild“ aktivitu zneužívající kritickou zranitelnost CVE-2026-1731 (skóre 9.9) v produktech BeyondTrust Remote Support (RS) a Privileged Remote Access (PRA). Chyba umožňuje neautentizované vzdálené spuštění OS příkazů (RCE) pomocí speciálně sestavených požadavků. watchTowr publikoval technické detaily pozorovaného zneužití (včetně zneužití volání get_portal_info a následného navázání WebSocket kanálu).

BeyondTrust vydal advisory BT26-02 a opravy; zároveň platí, že PRA verze 25.1+ podle vendor komunikace patch nepotřebují (zranitelná je starší větev). CISA následně 13. února 2026 přidala CVE-2026-1731 do katalogu Known Exploited Vulnerabilities (KEV), tedy jako aktivně zneužívanou zranitelnost.

Odkazy:

• https://thehackernews.com/2026/02/researchers-observe-in-wild.html
• https://www.beyondtrust.com/trust-center/security-advisories/bt26-02
• https://www.cisa.gov/news-events/alerts/2026/02/13/cisa-adds-one-known-exploited-vulnerability-catalog
• https://arcticwolf.com/resources/blog/cve-2026-1731/
• https://www.rapid7.com/blog/post/etr-cve-2026-1731-critical-unauthenticated-remote-code-execution-rce-beyondtrust-remote-support-rs-privileged-remote-access-pra/

NÚKIB: ohlášení podle nového kyberzákona už má 4 825 subjektů

NÚKIB informoval, že nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) a vyhláška o regulovaných službách (č. 408/2025 Sb.) nabyly účinnosti 1. listopadu 2025. Organizace, které k tomuto datu splňovaly kritéria, měly 60 dní na ohlášení regulované služby – lhůta skončila 31. prosince 2025.

K 1. lednu 2026 bylo ohlášení provedeno „přes 4 500“ subjekty, k 8. únoru 2026 už konkrétně 4 825. NÚKIB dlouhodobě uvádí, že pod zákon spadne přibližně 6 000 organizací. Úřad zároveň připomíná, že dlouhodobé neplnění povinností může vést ke správnímu řízení a sankcím až 250 milionů Kč nebo až 2 % čistého celosvětového ročního obratu.

Odkaz: https://nukib.gov.cz/cs/infoservis/aktuality/2372-ohlaseni-podle-noveho-zakona-o-kyberneticke-bezpecnosti-provedlo-pres-4800-organizaci/

Více o těchto událostech mluví Stanislav Novotný v nové epizodě ALEF SecurityCastu:

Další novinky týdne, které se nevešly do hlavního přehledu

Google ukončuje nástroj pro monitoring dark webu

Google oznámil, že v únoru 2026 ukončí provoz svého Dark Web Monitoring Tool a odstraní související uživatelská data. Služba upozorňovala na nalezené osobní údaje na dark webu, nyní se firma chce více zaměřit na nástroje poskytující aktivní ochranu a bezpečnostní doporučení.
Zdroj: https://www.malwarebytes.com/blog/news/2026/02/a-week-in-security-february-9-february-15

Aktualizace Windows 11 způsobuje bootovací smyčku

Po instalaci bezpečnostní aktualizace KB5077181 pro Windows 11 hlásí část uživatelů nekonečné restartování zařízení. Aktualizace měla řešit bezpečnostní chyby, ale v některých případech narušila schopnost systému korektně nabootovat.
Zdroj: https://cybersecuritynews.com/windows-11-kb5077181-security-update/

Únik dat telekomunikačního operátora Odido

Nizozemský operátor Odido potvrdil únik dat přibližně 6,2 milionu zákazníků po neoprávněném přístupu k databázi. Zasažené informace zahrnovaly například jména, adresy a e-mailové kontakty; podle společnosti nebyla kompromitována hesla ani přihlašovací údaje.
Zdroj: https://www.techradar.com/pro/security/major-telco-breach-sees-6-2-million-users-have-personal-info-leaked-heres-what-we-know-so-far

Incident v mobilní správě zařízení EU institucí

CERT-EU potvrdil bezpečnostní incident týkající se platformy pro správu mobilních zařízení využívané institucemi EU. Incident byl podle dostupných informací rychle omezen, ale ukazuje pokračující tlak na vládní a nadnárodní IT infrastrukturu.
Zdroj: https://www.helpnetsecurity.com/2026/02/15/week-in-review-exploited-newly-patched-beyondtrust-rce-united-airlines-ciso-on-building-resilience/

Nový rámec pro řízení rizik autonomních AI agentů

UC Berkeley Center for Long-Term Cybersecurity zveřejnil rámec zaměřený na řízení rizik spojených s autonomními AI agenty. Dokument upozorňuje, že systémy schopné samostatného rozhodování mohou představovat nový vektor kybernetických i systémových rizik.
Zdroj: https://ppc.land/uc-berkeley-unveils-framework-as-ai-agents-threaten-to-outrun-oversight/

Další trendy a přehledy

• Credential-stealing rozšíření pro Chrome a falešné e-shopy zneužívající zájem o Olympijské hry 2026
  Zdroj: https://www.malwarebytes.com/blog/news/2026/02/a-week-in-security-february-9-february-15

• Diskuse o bezpečnosti průmyslových a OT systémů na konferencích S4x26 a BSides ICS/OT
  Zdroj: https://industrialcyber.co/features/from-concept-to-consequence-how-s4x26-bsides-ics-and-industrial-cyber-days-are-reframing-ot-security/

• Podle průzkumu čelilo 58 % Britů v roce 2025 významnému online riziku, přičemž rostoucí využívání generativní AI snižuje digitální důvěru
  Zdroj: https://www.techradar.com/pro/security/58-percent-of-brits-faced-significant-online-risk-in-2025-increased-ai-usage-is-reducing-digital-trust

• ENISA zveřejnila novou metodiku pro cvičení kybernetické bezpečnosti organizací
  Zdroj: https://www.enisa.europa.eu/