Dřív stačilo zamést stopy a zmizet. Dnes ale zanecháváme digitální otisky téměř všude. V e-mailech, metadatech, síťovém provozu i kryptoměnových transakcích. A právě digitální forenzika – obor na pomezí IT a detektivní práce – dnes pomáhá rozplétat největší kyberzločiny i letité vraždy.
V následujících pěti skutečných případech hrála klíčovou roli, od rozluštění ransomwarového útoku na nemocnici až po dopadení sériového vraha díky disketě. Každý z nich ukazuje, že i jeden nenápadný detail může rozhodnout mezi anonymitou a doživotím.
V dubnu 2025 se zákazníci Marks & Spencer začali hromadně ozývat, že jim nefungují online objednávky. Brzy vyšlo najevo, že nejde o obyčejný výpadek, ale o jeden z největších kybernetických útoků na britský retail vůbec.
Útočníci se dostali do systému přes třetí stranu – konzultantskou firmu Tata. Pomocí sofistikovaného sociálního inženýrství získali přístup k vnitřní infrastruktuře. Tam nasadili ransomware, zašifrovali klíčové servery a stáhli citlivá zákaznická data. M&S prakticky ze dne na den ztratilo schopnost fungovat online.
Odborníci na digitální forenziku analyzovali síťové logy, trasovali pohyb útočníků v systému a našli stopy vedoucí k čtyřem mladým hackerům ve věku 17–20 let. Pomohla i metadata z ransomwaru a forenzní vyšetřování během zásahu. Případ se podařilo rychle vyřešit, ale cena byla vysoká. Firma odhadla ztráty až na 300 milionů liber.
Silk Road byl jedním z největších černých trhů na darknetu. Fungoval anonymně přes TOR a umožňoval obchod s drogami, zbraněmi i hackerskými službami. Jeho tvůrce byl dlouho prakticky nedotknutelný. Jenže v pozadí už mezitím pracovaly desítky vyšetřovatelů, digitálních forenziků a specialistů na blockchain, kteří pečlivě skládali stopy.
Zlom nastal ve chvíli, kdy se agenti vrátili ke starým příspěvkům z doby, kdy se Silk Road teprve rozjížděl. Na jednom z nich někdo web propagoval a jako kontakt uvedl svůj e-mail: rossulbricht@gmail.com. Právě tahle drobná chyba se později stala klíčovým vodítkem.
Vyšetřovatelé roky sledovali bitcoinové transakce, styl komunikace administrátora, mapovali pohyby IP adres a vytvářeli digitální profil podezřelého. Vše směřovalo k jednomu jménu: Ross Ulbricht.
Rozhodující chvíle přišla v říjnu 2013. Ulbricht pravidelně pracoval na svém laptopu v newyorské knihovně. Dva agenti FBI inscenovali hádku poblíž jeho stolu a ve chvíli, kdy Ulbricht zvedl oči od obrazovky, další mu zezadu bleskově sebrali notebook. Počítač byl v tu chvíli otevřený, přihlášený a ještě běžel administrátorský panel Silk Road.
Digitální forenzici okamžitě vytvořili kopii disku i paměti RAM a získali přístupové klíče, logy obchodů, šifrovací skripty i deník, kde Ulbricht detailně popisoval budování impéria Silk Road. Po letech anonymního zločinu ho dohnala jedna stará zpráva a několik minut nepozornosti.
V roce 2015 byl Ross Ulbricht odsouzen na doživotí bez možnosti podmínečného propuštění.
V květnu 2017 zažil svět útok, který definitivně ukázal, jak zranitelná může být moderní digitální infrastruktura. Ransomware WannaCry během několika dní infikoval více než 300 000 zařízení ve více než 150 zemích – od britských nemocnic a dopravních systémů po továrny v Japonsku a Rusku. Počítače byly uzamčeny, soubory zašifrovány a na obrazovkách se objevila žádost o výkupné v bitcoinech.
Zatímco veřejnost panikařila, týmy digitálních forenziků okamžitě zahájily analýzu škod. Podařilo se jim rozebrat vzorky malwaru a identifikovat zranitelnost zneužitou při útoku – exploit EternalBlue, který původně vyvinula americká NSA a který později unikl na veřejnost. Forenzici také identifikovali malwarem řízené servery a sledovali, jak se šíří napříč sítěmi.
Kromě toho provedli reverse engineering ransomwaru, díky němuž se podařilo najít slabiny a vytvořit nástroje pro dešifrování dat u některých verzí útoku. Rychlá reakce bezpečnostních týmů pomohla mnoha institucím obnovit systémy ze záloh a minimalizovat dopady.
FBI a další agentury později na základě digitálních důkazů a analýzy síťové infrastruktury označily za původce útoku hackerskou skupinu Lazarus, napojenou na severokorejský režim.
Dennis Rader, známý jako BTK Killer (zkratka pro Bind, Torture, Kill), terorizoval Kansas od 70. do začátku 90. let. Spáchal deset brutálních vražd a po každé z nich posílal policii výsměšné dopisy. Poté se na více než deset let odmlčel. Až v roce 2004, jako by toužil po obnovené pozornosti, se znovu ozval – tentokrát digitálně.
Policii poslal disketu s anonymním dokumentem, ve kterém tvrdil, že je skutečný BTK. Věřil, že tohle médium nezanechá žádné stopy. Jenže digitální forenzici se zaměřili na něco, co sám přehlédl – metadata.
Při jejich analýze objevili dvě klíčové informace: jméno „Dennis“ a název Christ Lutheran Church. Obě stopy vedly ke stejnému člověku, Dennisu Raderovi, aktivnímu členovi daného kostela. Ironií osudu se sériového vraha, který celé roky unikal, podařilo dopadnout kvůli jedné přehlédnuté digitální stopě.
V roce 2024 se jedna z velkých amerických nemocnic stala terčem sofistikovaného ransomwarového útoku. Útočníci pomocí tzv. SIM swapu převzali kontrolu nad telefonním číslem jednoho z administrátorů a tím získali přístup k dvoufaktorové autentizaci. Netrvalo dlouho a celý IT systém nemocnice byl uzamčen: zdravotnická dokumentace, přístup k výsledkům testů, plánování operací. Šlo doslova o život.
Pomocí síťové analýzy identifikoval tým digitálních forenziků komunikační infrastrukturu ransomwaru, tedy servery, přes které malware přijímal instrukce a odesílal data. Klíčovou roli sehrála technika zvaná sinkholing: škodlivý provoz byl přesměrován na vlastní servery specialistů, čímž získali přehled nad tím, jak útok funguje, a mohli ho řízeně zablokovat.
Díky včasnému zásahu se podařilo izolovat napadené části systému, obnovit provoz z bezpečnostních záloh a předejít vyplacení výkupného. Nemocnice zůstala v chodu, i když několik dní fungovala ve výrazně omezeném režimu.
Útočníci zatím dopadeni nebyli, ale případ ukázal, jak zásadní je mít připravený tým expertů, kteří umí během hodin zastavit i kritický kybernetický útok dřív, než dojde k nevratným škodám.
Autor: Kateřina Slezáková
ičo: 22417079
instantIT s.r.o.
Rybná 716/24, Staré Město, 11000 Praha 1
ičo: 22417079
instantIT s.r.o.
Rybná 716/24, Staré Město, 11000 Praha 1
