Blog Hrozby

Ransomware 2025: Jak se bránit a co dělat po útoku

Ransomware se v roce 2025 stal největší kybernetickou hrozbou pro firmy všech velikostí. Šifrování dat, exfiltrace a vydírání — pochopte, jak útok probíhá, a nastavte efektivní ochranu dříve, než bude pozdě.

25. dubna 2025 · 11 minut čtení · Hrozby

V roce 2024 zaplatily firmy po celém světě na výkupném za ransomware rekordních 1,1 miliardy dolarů. Průměrná výše výkupného u středně velkých firem překročila 2 miliony dolarů — a to nepočítáme náklady na výpadek provozu, obnovu systémů, právní poradenství a poškození reputace. V roce 2025 se trend nezastavuje. Útoky jsou sofistikovanější, útočné skupiny profesionálnější a cíle se posunuly i na malé a střední firmy, které byly dříve mimo hledáček.

Tento článek vysvětluje, jak ransomware funguje, jaká preventivní opatření skutečně fungují a co přesně dělat v okamžiku, kdy útok nastane.

Jak ransomware funguje — anatomie útoku

Ransomware je typ malwaru, který po infikování systému zašifruje soubory oběti a požaduje výkupné (anglicky ransom) za jejich odšifrování. Moderní útoky ale dávno přesáhly tento jednoduchý model. Dnešní útočné skupiny praktikují tzv. double extortion (dvojité vydírání): nejprve data exfiltrují (ukradnou), pak je zašifrují. Pokud firma odmítne zaplatit, útočníci hrozí zveřejněním ukradených dat — firemních smluv, osobních údajů zákazníků, finančních výkazů.

Typické vstupní vektory ransomwaru

Po prvotním průniku útočníci zpravidla nejdou okamžitě šifrovat data. Tráví v síti dny až týdny — pohybují se laterálně, mapují síť, eskalují oprávnění, hledají zálohy a deaktivují bezpečnostní software. Teprve poté spustí payload. To znamená, že detekce v rané fázi je klíčová — čím dříve útok zastavíte, tím menší škody napáchá.

Prevence ransomwaru: opatření, která skutečně fungují

Neexistuje jediné opatření, které by ransomware zastavilo se stoprocentní jistotou. Účinná ochrana je vrstvená — kombinuje technická opatření, procesy a vzdělávání zaměstnanců.

Zálohy podle pravidla 3-2-1-1

Zálohy jsou posledním, ale nejspolehlivějším prostředkem obnovy po ransomware útoku. Doporučené pravidlo 3-2-1-1 říká: mějte 3 kopie dat, na 2 různých médiích, 1 kopii mimo lokalitu a 1 kopii offline (air-gapped — fyzicky odpojenou od sítě). Offline záloha je klíčová, protože ransomware se dnes cíleně zaměřuje na zálohovací systémy a cloudy připojené k síti.

Zálohy nestačí jen mít — je nutné je pravidelně testovat. Organizace, které po útoku zjistily, že zálohy jsou poškozené nebo neúplné, jsou bohužel běžnou realitou.

Správa záplat (Patch Management)

Nezáplatované zranitelnosti jsou druhým nejčastějším vstupním vektorem ransomwaru. Zavedení systematického procesu správy záplat — s jasnou lhůtou pro instalaci kritických záplat (ideálně do 24-72 hodin od vydání) — výrazně snižuje expozici. Zvláštní pozornost věnujte VPN brány, RDP servery, webové servery a e-mailové systémy.

Vícefaktorové ověření (MFA)

Kompromitované přihlašovací údaje jsou vstupem pro velkou část ransomware útoků. MFA nasazené na všechny externí přístupy — VPN, webmail, cloudové aplikace, RDP — dramaticky snižuje riziko zneužití ukradených hesel. Podrobněji se MFA věnujeme v článku Proč dnes nestačí jen silné heslo.

Segmentace sítě

Plochá síť, kde všechna zařízení navzájem volně komunikují, je pro ransomware ideální prostředí — malware se šíří bez překážek. Segmentace sítě (rozdělení do VLAN, izolace kritických systémů, princip nejmenšího oprávnění) omezuje možnost laterálního pohybu útočníka a brání šíření malwaru do celé infrastruktury.

Monitoring a detekce (EDR/SIEM/SOC)

Prevence nestačí. Firmy potřebují také schopnost detekovat probíhající útok co nejdříve. Nástroje EDR (Endpoint Detection and Response) sledují chování na koncových stanicích a detekují podezřelé aktivity — šifrování souborů, pokusy o eskalaci oprávnění nebo neobvyklou síťovou komunikaci. Spojení EDR s SIEM systémem a dohledem ze strany Security Operations Center (SOC) umožňuje reakci v řádu minut, nikoli hodin.

Co dělat po ransomware útoku — krok za krokem

Pokud se ransomware přesto dostane do vaší sítě, záleží na každé minutě. Panika a unáhlená rozhodnutí situaci zhorší. Postupujte systematicky.

  1. Izolujte infikované systémy okamžitě. Odpojte postižené počítače od sítě — fyzicky odpojte síťové kabely nebo zakažte Wi-Fi. Zabraňte dalšímu šíření malwaru. Nevypínejte stroje, pokud to není nezbytné — v paměti mohou být stopy důležité pro forenzní analýzu.
  2. Aktivujte Incident Response plán. Kontaktujte vaši IR skupinu nebo externího poskytovatele, jako je SecureOn.cz. Informujte vedení a klíčové osoby definované v plánu.
  3. Identifikujte rozsah útoku. Které systémy jsou postiženy? Jaká data byla potenciálně exfiltrována? Kdy útok začal (útočníci jsou v síti obvykle dny až týdny před aktivací).
  4. Oznamte incident regulátorům. Pokud zpracováváte osobní údaje, máte povinnost hlásit bezpečnostní incident ÚOOÚ do 72 hodin. Firmy podléhající NIS2 mají povinnost hlásit NÚKIB.
  5. Kontaktujte orgány činné v trestním řízení. Ransomware útok je trestný čin. Nahlásit ho Policii ČR je správný krok — a může pomoci i ostatním obětem téhož útočníka.
  6. Zahajte obnovu ze záloh. Obnovu provádějte na čistém prostředí, ne na kompromitovaných systémech. Před obnovou ověřte, že zálohy nejsou také infikované.

Proč neplatit výkupné

Zaplatit výkupné se zdá jako nejrychlejší řešení, ale bezpečnostní experti a orgány činné v trestním řízení to důrazně nedoporučují — a to z několika důvodů:

Nejlepší pojistkou proti ransomwaru je kombinace kvalitních offline záloh, dobré detekce a otestovaného Incident Response plánu. Pokud chcete zhodnotit, jak vaše firma stojí vůči ransomware hrozbám, kontaktujte nás — provedeme bezplatnou úvodní analýzu vaší situace.

Potřebujete poradit s kybernetickou bezpečností?

Naši experti jsou připraveni zhodnotit vaši situaci. První konzultace je zdarma.

Získat bezplatnou konzultaci