„Nás se to netýká, jsme příliš malí.“ Tahle věta zazněla i v jedné české firmě pár týdnů před tím, než ji ransomware položil na měsíc. AI agentům, kteří dnes skenují internet a hledají zranitelné cíle, je vaše velikost tak trochu jedno.
Rok 2025 přinesl znovu známý paradox. Medián plateb výkupného sice klesl na 115 000 USD (ze 150 000 USD v roce 2024), přičemž 64 % obětí nezaplatilo, jenže počet útoků globálně vzrostl o 58 % meziročně. Rok 2025 byl z pohledu ransomware nejaktivnějším rokem v historii. Guidepoint Security zaznamenal 7 515 organizací zveřejněných na dark-web leak-sites.
ENISA ve svém Threat Landscape 2025 analyzovala 4 875 incidentů v EU za období 7/2024–6/2025. Ransomware zůstává nejzávažnější hrozbou v EU, kdy 81,1 % všech kybernetických incidentů, které cílí na evropské organizace, zahrnuje ransomware nebo datové úniky. Na Evropu připadá 22 % globálních ransomware útoků, tím se dostává na druhé místo za Severní Amerikou. Nejvíce zasažené země jsou UK, Německo, Francie, Itálie a Španělsko.
A teď nejméně příjemná statistika. Téměř sto procent (95 %) organizací věří, že obnovu po ransomware útoku zvládnou bez problémů. Ve skutečnosti se podaří obnovit pouze 15 % dat. Propast mezi (nezdravým) sebevědomím a realitou je tedy značná.
Proč firmy selhávají, i když „mají opatření“
Před útokem se 69 % organizací se hodnotí jako „dobře připravené“, po útoku uvedené číslo klesá o více než 20 procentních bodů.
Jedním z bolavých míst je (ne)testování záloh. 98 % organizací má sice vytvořen ransomware playbook, ale pouze 44 % společností zavedlo jako nedílnou součást kroků v playbooku pravidelné testování záloh. Sophos report State of Ransomware 2025 (3 400 IT profesionálů ze 17 zemí) uvádí, že v roce 2025 se ransomwarové skupiny pokusily kompromitovat zálohy ve většině zjištěných incidentů. Když se to povedlo, průměrná platba výkupného významně vzrostla oproti případům, kde zálohy zůstaly netknuté. Pouze 45 % zálohovacích datových úložišť je immutable (odolné vůči modifikaci), zbytek jde zašifrovat společně s produkčními daty.
AI jako handicap obránců: nižší bariéra vstupu pro útočníky
Podle ENISA ETL 2025 využívají státní aktéři i organizovaný kyberzločin AI ke zvýšení efektivity útoků. Phishingové kampaně s podporou AI dnes tvoří více než 80 % aktivit sociálního inženýrství.
Report FunkSec z konce roku 2024 potvrdilo trend, který pokračuje v celém roce 2025: nezkušení útočníci využívají AI-asistovaný vývoj malwaru. LLM prodávané na dark webu dramaticky snížily technickou bariéru vstupu do ransomware „byznysu“. Technická nezkušenost pro spuštění sofistikovaných ransomware kampaní již není překážkou.
Tři významné ransomware incidenty roku 2025
A) Marks & Spencer: £300 milionů za telefonní hovor na helpdesk
Duben 2025. Skupina Scattered Spider získala přístup do M&S klasickým social engineering vektorem: útočník zavolal na outsourcovaný helpdesk třetí strany, vydal se za zaměstnance a vymohl reset hesla. S kradenou identitou extrahoval NTDS.dit — databázi Active Directory s hashy hesel všech doménových účtů. 24. dubna nasadili DragonForce ransomware na VMware ESXi hypervisory a zašifrovali produkční prostředí. Počáteční kompromitace proběhla již v únoru — útočníci strávili dva měsíce v sítipřed nasazením ransomwaru. Online objednávky byly nedostupné 46 dní. Dopad: ~£300 milionů ztráty zisku, pokles tržní kapitalizace o £700 milionů, čtyři zatčení (z toho tři nezletilí). Outsourcovaný helpdesk bez silné verifikace identity se ukázal jako privilegovaný vstupní bod útočníka, nikoli jako periferie.
B) Jaguar Land Rover: £1,9 miliardy: nejdražší kybernetický útok v britské historii
Srpen–říjen 2025. Skupina Scattered Lapsus$ Hunters (koalice Scattered Spider, Lapsus$ a ShinyHunters) napadla JLR skrze ukradené SAP přihlašovací údaje. 1. září JLR odstavil celou globální IT infrastrukturu jako containment opatření — výroba ve všech závodech (UK, Slovensko, Indie, Čína, Brazílie) se zastavila. Pět týdnů výpadku výroby (~1 000 vozidel/den). Cyber Monitoring Centre klasifikovalo incident jako Category 3 systémovou událost s dopadem na více než 5 000 organizací v dodavatelském řetězci a odhadovanou ekonomickou škodou £1,9 miliardy. Retailové prodeje ve Q3 FY2026 klesly o 25,1 %, velkoobchodní o 43,3 %. JLR vykázal čtvrtletní předběžnou ztrátu £485 milionů oproti zisku £398 milionů ve stejném období předchozího roku. Incident potvrdil, že kompromitace IT v just-in-time výrobním prostředí se okamžitě přelévá do OT vrstvy a zasahuje celý dodavatelský řetězec daleko za hranice napadeného podniku.
C) Collins Aerospace / vMUSE: Ransomware zastaví evropská letiště přes jednoho vendora
Září 2025. Ransomwarový útok na platformu vMUSE (Collins Aerospace) — software pro check-in a palubní procesy — ochromil operace na Heathrow, Bruselu, Berlíně a Dublinu. Zasaženy stovky letů, tisíce cestujících. Útočník zašifroval backend servery sdíleného SaaS systému, na který záviselo současně více letišť a aerolinek. Za útokem stojí podle vlastního prohlášení skupina Everest Ransomware, její zapojení však nebylo nezávisle potvrzeno. EASA vydala naléhavé pokyny k řízení rizik třetích stran a odolnosti letištních IT systémů. Incident byl UK Cyber Monitoring Centre zhodnocen jako systémová událost s dopadem na více než 5 000 navazujících organizací. Za útokem stojí podle vlastního prohlášení skupina Everest Ransomware, její zapojení však nebylo nezávisle potvrzeno. EASA vydala naléhavé pokyny k řízení rizik třetích stran a odolnosti letištních IT systémů. Incident názorně ukázal, že sdílená SaaS infrastruktura v kritické dopravní infrastruktuře vytváří single point of failure s dopadem, který přesahuje jednotlivého provozovatele a zasahuje celé odvětví najednou.
Běžné zálohy nestačí. Potřebujete zálohy, které přežijí ransomware útok
„Máme zálohy“ bez testu znamená, že „nemáme zálohy.“ Rovněž otestované zálohy mohou být kontaminované, pokud je dwell time útočníka delší než vaše retenční politika.
Co funguje?
1. Skenování obsahu záloh. Antivirový software detekuje známý ransomware přímo v záložních archivů při zápisu i v klidném stavu. Výsledky skenů slouží jako důkaz integrity pro audit.
2. Analýza entropie a anomálií. Ransomware radikálně zvyšuje entropii (náhodnost) souborů. Pokud systém zjistí náhlou změnu 80 % dat nebo vysokou míru šifrování, označí zálohu jako podezřelou a zablokuje její „povýšení“ na bezpečnou kopii.
3. Clean Room Recovery. Obnova dat neprobíhá přímo do produkčního, ale do izolovaného segmentu sítě. Forenzní analýza a scan na přítomnost malware proběhne před připojením do sítě.
4. Honeypoty v souborovém systému. „Návnadové“ soubory, na které nikdo nesahá. V případě změny těchto speciálních souborů je spuštěn alarm a okamžitě zastavení zálohování.
5. Verzování a dlouhodobé uchovávání záloh. Pokud je dwell time útočníka 60 dní a držíte zálohy pouze 30 dní, máte pouze infikovaná data. Pro kritické systémy držte měsíční či kvartální „zlaté obrazy“ (Golden Images).
6. Neměnnost záloh (Immutability). I když je do zálohy zapsán infikovaný soubor, neměnnost záloh zajistí, že ransomware, který se spustí později, nemůže zpětně zašifrovat starší zálohy. Zmenšujeme prostor, který může útočník zničit, na aktuální inkrement.
7. Post-restore záplatování. Záloha může obsahovat zranitelnost, kterou útočník využil. Doporučený postup: Obnova → Odpojení od sítě → Aplikace záplat → Scan → Spuštění.
Runbook: Jedna až dvě stránky, které mohou zachránit firmu
Ransomware runbook není 40 stránková bible. Jedná se o stručný, rozhodovací a hlavně nacvičený postup.
• Prvních 30 minut: Kdo vyhlašuje incident? Jak poznáme ransomware? Okamžitě: izolovat postižené stroje, odpojit od sdílených disků.
• Stabilizace (hodiny): Zastavit šíření, zajištění forenzní stopy, rozhodnout priority obnovy (RTO/RPO).
• Komunikace: Interní kanál mimo kompromitované prostředí. Kdo mluví s klienty, pojišťovnou, právníky, regulátorem.
• Obnova: Obnova výhradně z ověřených a čistých záloh. Postupná prioritizace: identity a autentizační služby → klíčová infrastruktura → business aplikace → koncová zařízení. Po obnovení provést bezpečnostní zpevnění (hardening), reset přístupových údajů a ověření absence perzistence útočníka.
Ransomware v roce 2025 přestal být otázkou „jestli" a stal se otázkou „kdy a jak dobře budete připraveni". Incidenty jako M&S, JLR nebo Collins Aerospace mají jedno společné: útočníci nevyužili sofistikované zero-day zranitelnosti, ale mezery v procesech, identitě a důvěře třetích stran. Technická opatření jsou nutná, ale nestačí, pokud procesy kolem identity, vendor managementu a testování odolnosti zůstávají formální. Rozdíl mezi organizacemi, které ransomware přežily bez katastrofy, a těmi ostatními tvoří zvládnutí základů: ověřené přístupy, rychlá detekce kompromitace a runbook, který byl nacvičen dřív, než ho firma potřebovala.
