Možno ste aj vy v roku 2013 na obrazovke počítača zažili neodstrániteľnú výzvu od „Polície Slovenskej republiky“. Nabádala vás zaplatiť za vaše opakované „porušenie legislatívy“. Kým pred pár rokmi sa podobné typy ransomvéru šíril ako lavína, dnes je už skôr zriedkavosťou. V kurze sú skôr chirurgicky presné útoky, pri ktorých útočníci sledujú svoje ciele, študujú ich infraštruktúru, používajú nástroje na krádež prístupových údajov a sú oveľa viac nebezpečné pre menšie podnikateľské subjekty.
Malé a stredné podniky sa v roku 2025 ocitli bezpochyby v prvej línii ransomvérových. Odhady sa od štatistiky k štatistike rôznia, najmä z dôvodu, že súkromné firmy len nerady priznávajú únik, no aj triezvejšie odhady hovoria, na SMEs smeruje viac ako 90 % útokov. Pre útočníkov sú “low-hanging fruit“, pretože často nemajú dostatočné zabezpečenie a reagujú pomalšie ako veľké korporácie. Ich investície do kyberbezpečnosti sú významne nižšie ako u veľkých korporátov, čo znamená, že každý nezaplátaný systém či nepozorný zamestnanec môže byť vstupnou bránou.
Útok v mnohých prípadoch paralyzuje celý chod firmy. Viac než polovica postihnutých podnikov má prevádzku odstavenú viac ako desať dní, čo prináša finančné aj reputačné škody. Keď sa prevádzka konečne obnoví, škody ešte len začínajú: Od zmeškaných zákaziek po sklamaných klientov. Mnohé firmy pritom stále nemajú plán, ako podobnú situáciu riešiť. Bez jasnej stratégie a záloh sa tak každý útok môže zmeniť na boj o prežitie.
Ransomvérová scéna sa mení, útoky ostávajú
Po “zlatej ére” ransomvéru v období a rokoch po pandémii COVID19 sa rast tejto obľúbenej praktiky kyber-zločincov spomalil a v niektorých kategóriách ako napríklad v objeme zaplateného výkupného aj medziročne znížil. Do veľkej miery si za to mohli hackeri samotní, ktorí to “roztočili” tak intenzívne, že sa rýchlo dostali do hľadáčika vládnych agentúr po celom svete.
V roku 2024 zasiahli koordinované medzinárodné operácie niektoré z najznámejších ransomvérových skupín, čím narušili ich štruktúry a preusporiadali mocenské pomery v kyberzločineckom prostredí. Ransomware ekosystém sa odrazu stal fragmentovanejším a menej predvídateľným. Namiesto niekoľkých silných, centralizovaných organizácií dnes útočia skupiny, ktoré používajú viacero variantov ransomvéru súčasne, aby znížili riziko.
Štátne inštitúcie si mohli v roku 2024 konečne viac vydýchnuť s prepadom zaznamenaných útokov o 51 %. Stále menej často platia výkupné, čím sa pre útočníkov stávajú neatraktívnym cieľom. Aj celkové platby výkupného podľa niektorých zdrojov klesli v roku 2024 medziročne približne o 35 % (z 1,25 mliardy na takmer 814 miliónov) najmä vďaka akciám medzinárodných agentúr zameraných na boj s kyberzločinom.
Napriek tomuto poklesu sa ale celkový počet ransomvérových incidentov do začiatku roku 2025 zvýšil medziročne o 46 %, čo naznačuje častejšie útoky, ale s meniacimi sa taktikami. Menej než polovica útokov v roku 2025 zahŕňa aj šifrovanie dát, čo je tradičný znak ransomvéru. Môže to naznačovať, že útočníci u svojich obetí už dopredu rátajú s obavou, že sa ich ukradnuté dáta zverejnia. Existujú prípady kedy si útočník vypýta 2 milióny výkupného keďže vie, že sankcia od regulátora za uniknutie dát by bola oveľa vyššia .
Next-gen ransomvér: ticho, presne a rýchlo
Dnes sú útočníci sofistikovaní, oveľa lepšie organizovaní a neuveriteľne rýchli. Priemerný čas medzi prvým prienikom do siete a úplným rozšírením ransomvéru sa skrátil na 48 minút. V niektorých prípadoch trvá len neuveriteľných 51 sekúnd. Namiesto „brute force“ prienikov do siete útočníci často jednoducho použijú kompromitované účty zamestnancov, prihlásia sa ako bežný používateľ a nenápadne sa pohybujú po sieti. Až 96 % ransomvérových útokov cieli aj na zálohovacie systémy, aby znemožnili obnovu dát. Aj „správne“ nastavené zálohy už nemusia byť garanciou bezpečia, ak nie sú oddelené alebo off-line.
Ransomvér sa pritom v poslednej dekáde stal biznis modelom. Ako sme poukázali v našom nedávnom blogu o dnes už rozbitej skupine Conti, útočníci nie sú žiadni anonymní „pozbieranci“ v mikinách. Ide o sofistikované a dobre organizované skupiny ľudí s jasne budovanou štruktúrou riadenia a presne zadefinovanými úlohami. Majú presné postupy a bežne využívajú Ransomware-as-a-Service (RaaS), kde „vývojári“ útokov ponúkajú svoje nástroje iným zločincom výmenou za podiel z výkupného. Odhady z prvej polovice roka 2025 hovoria o s 96 aktívnych ransomvérových skupinách, čo je o takmer 40 % viac ako rok predtým.
Vitajte v dobe AI útokov
Iba nedávno hackeri po prvýkrát vo veľkom využili AI nástroj Claude na komplexnú ransomvérovú kampaň. Dokázali automatizovať krádež prístupov a dát, písanie vydieračských e-mailov, či vyjednávať cez AI výkupné vo výške stoviek tisíc dolárov. Zasiahnutých malo byť takmer 20 organizácií, od verejných až po náboženské inštitúcie. Ide zatiaľ o malé, ale o to desivejšie nahliadnutie na časy, ktoré sú pred nami.
Tak ako AI dnes používajú obrancovia, využívajú ju už aj útočníci. AI dokáže generovať personalizované phishingové správy, simulovať jazyk internej komunikácie alebo rýchlo testovať, ktoré zraniteľnosti sú ešte „živé“. Stáva sa tak potenciálne významným katalyzátorom množstva a sofistikovanosti ransomvérových hrozieb.
We monitor the hackers – so you don’t have to
Pozorne sledujeme aj zákulisie rôznych hackerských skupín. Sme napojení na viaceré zdroje vrátane spravodajských databáz, analytických sietí a sledujeme aj kanály, ktoré pomáhajú internetových zločincov odhaľovať. Vieme, aké uniknuté heslá “lietajú” po internete a vieme vás upozorniť, ak pôjde o prístupy do systémov vašej firmy.
Sme vôbec prvá firma, ktorá na Slovensku začala poskytovať služby Security Operations Center (SOC) a roky sa venujeme aktívnej ochrane pričom ponúkame kompletné portfólio služieb, ktoré dokáže významne zvýšiť obranyschopnosť vášho podnikania:
Securea – An advanced tool for managing cyber risks and ensuring compliance with security regulations. It enables efficient management of security processes, risk assessment, and optimization of investments in the protection of sensitive data.
Protegamus – A simulation platform for training in cyber incidents that allows IT teams and staff to practice responses to real-life cyberattacks. Interactive exercises help quickly and effectively improve the resilience of any organization that uses them.
Ak máte podozrenie, že ste sa stali cieľom útoku, alebo chcete preventívne posilniť vašu kybernetickú ochranu – get in touch with us. Vieme, s kým máme do činenia. A vieme, ako sa brániť.
The project funded through grant agreement number 101145856 is supported by the European Cybersecurity Competence Centre.
