Menu
PRÁCE S DATY ZAMĚSTNANCI RANSOMWARE ROZHOVOR

Mějte zálohy, jinak vám po ransomwarovém útoku zbudou jen špatné možnosti, říká Martin Haller

Kateřina Benešová

Kateřina Benešová
22. 04. 2025

Mějte zálohy, jinak vám po ransomwarovém útoku zbudou jen špatné možnosti, říká Martin Haller

Firmy obvykle v prvním kroku reagují na ransomwarový útok správně. Vypnou zasažené systémy a odpojí je od sítě. Problém bývá v následném postupu. Co radí etický hacker Martin Haller z firmy PATRON-IT, který se právě na obnovu po ransomwarovém útoku specializuje? 

Mějte zálohy, jinak vám po ransomwarovém útoku zbudou jen špatné možnosti, říká Martin Haller



Jak vypadá typický scénář ransomwarového útoku? 

Ransomwarový útok obvykle začíná v okamžiku, kdy útočníci získají přístup do firemní sítě. Třeba prostřednictvím phishingového e-mailu, zneužité zranitelnosti nebo slabého hesla. Následně provádějí průzkum sítě, aby zjistili, jak je velká, kdo ji provozuje, jaké v ní běží systémy a jaká se jim podařilo získat přístupová práva

Pokud zatím nemají dostatečná oprávnění k tomu, aby mohli zničit zálohy a plošně zašifrovat data, pouštějí se do získávání vyšších oprávnění a pohybu napříč firemními systémy. V této fázi se snaží ovládnout co nejširší část infrastruktury napadené firmy. 

Jakmile mají situaci pod kontrolou, přistupují ke stahování, exfiltraci citlivých dat, která slouží jako další páka při vydírání. Souběžně nebo následně nasadí samotný ransomware, program, který data v síti zašifruje. Výsledkem je, že naprostá většina klíčových firemních dat je znepřístupněna – a útočníci pak obvykle požadují výkupné výměnou za dešifrovací klíč a slib nezveřejnit ukradená data. 


Zažil jste ve své praxi nějaké neobvyklé případy ransomwarových útoků? 

O zajímavé situace skutečně není nouze. Jednou jsme pátrali po způsobu průniku do firemní sítě a ukázalo se, že firma byla v průběhu let postupně napadena hned třemi různými skupinami. Jedna zneužívala její výpočetní zdroje, další ukradla část jejích dat, ale ani jednu z těchto aktivit oběť nezaznamenala. Na vše se přišlo až ve chvíli, kdy do hry vstoupila třetí skupina, která na problémy upozornila tím, že všechno zašifrovala. 

Jindy se nám shodou náhod v jednom čase sešly dvě oběti téže zločinecké skupiny. První firma svá data nutně potřebovala, takže se rozhodla zaplatit výkupné. Když pak zločinci její data dešifrovali, podařilo se nám jim nenápadně podstrčit i data druhé oběti. Díky tomu jsme dokázali přelstít samotné podvodníky, a výrazně jsme tím oběma firmám snížili náklady na obnovu. 



Zásadní je mít funkční zálohy

Jak to udělat, aby se takový útok ve firmě nestal, případně aspoň neopakoval? 

Zásadní je zajistit, abyste měli zálohy, které ransomwarový útok přežijí – tedy takové, které útočníci nebudou schopni zničit, a vy nebudete odkázáni na jejich milost. Tím získáte možnost obnovy nezávisle na útočnících. 

Dalším krokem je snaha o zabezpečení samotné sítě tak, aby se útočníci dovnitř nedostali. Případně aby pro ně bylo velmi obtížné získat větší kontrolu nad vašimi systémy. Úmyslně říkám „snaha“, protože veškeré úsilí a vynaložené finance jen snižují pravděpodobnost, že k útoku dojde, ale absolutní jistotu mít nikdy nebudete. 


Na jak dlouho může ransomwarový útok firmu ochromit? 

V případě napadení menšího množství systémů může obnova zabrat jen několik dnů, obvykle jeden až dva. Pokud ale dojde k úplnému ochromení celé firmy, bývá odstávka mnohem delší: minimálně týden či dva, než se podaří nahodit nejnutnější systémy. Uvedení všech systémů do stavu před útokem je pak otázkou měsíců. 


První reakce bývají správné

Jak firmy v první chvíli reagují na ransomwarový útok a jaké chyby dělají nejčastěji?

V prvním okamžiku reagují obvykle správně: vypnou zasažené systémy a odpojí je od sítě, nebo rovnou celou firmu od internetu. Problém nastává v dalším kroku, kdy je nutné situaci vyřešit a zasažené systémy obnovit. Zpravidla jim to zabere mnohem více času než specializovaným týmům, které už podobné útoky řešily opakovaně. A právě čas v takové situaci hraje klíčovou roli, protože během odstávky zůstává chod firmy ochromený, což výrazně zvyšuje finální škody. 


Co je tedy ten správný druhý krok? 

Hned po odpojení všech napadených systémů a přerušení internetového připojení je potřeba začít pracovat na několika věcech současně. Prověřit, která data a systémy útok přežily, pátrat po tom, jak se útočníci do sítě dostali, a okamžitě připravit plán obnovy, včetně zajištění lidských zdrojů a potřebného hardwaru.  

Důležité je také nastavit si priority, podle kterých se budou systémy obnovovat, a současně přijmout opatření, aby k takovému útoku nedošlo znovu.

Od samého začátku je nezbytné komunikovat s vedením firmy a vysvětlit, že systémy budou mimo provoz alespoň týden. Vedení pak může upravit výrobu, směny a další procesy tak, aby se minimalizovaly ztráty. Zároveň je nutné ujasnit si postup, jak situaci komunikovat se zaměstnanci, dodavateli, odběrateli, úřady a policií. 

Co se dá dělat, pokud firma nemá přístup k zálohám? 

Když firma přijde o zálohy, zbývá jen několik špatných možností.  

Někdy se ukáže, že zaměstnanci mají část firemních dat uloženou na vlastních počítačích nebo na domácích discích, a tím se může podařit zachránit aspoň něco.  

V ojedinělých případech mívá ransomware chybu v šifrování, díky které lze data obnovit i bez spolupráce s útočníky, ale takových případů stále ubývá. Navíc dostat se k informaci o chybě není jednoduché, protože si ji obvykle chrání specializované organizace nebo experti. 

Další možností je čekat, zda se podaří tvůrce ransomwaru dopadnout a později uveřejnit dešifrovací nástroj. To však může trvat velmi dlouho a výsledek je nejistý.  

Nakonec tak často nezbývá než se pokusit pokračovat v podnikání bez ztracených dat. Anebo zmíněné výkupné.  

Žádný z těchto výsledků není ideální, proto je tak důležité mít funkční a ověřené zálohy. 

Třetina firem radši zaplatí výkupné

Jak firmy obvykle uvažují o výkupném?

Ze zkušenosti lze říct, že zhruba třetina firem se k zaplacení nakonec uchýlí, protože je to pro ně pořád levnější než riziko dlouhodobého výpadku. Každá situace je ale jiná, záleží na významu ztracených dat, vyčíslení finančních škod a také na morálním postoji vedení nebo majitele firmy. Někdo raději zaplatí, aby rychle obnovil provoz, jiný naopak zdůrazňuje etickou rovinu a nedal by vyděračům ani korunu. 


Vzpomínáte si na nějaký konkrétní případ? 

Jednou jsme byli svědky situace, kdy se rozhodování mezi ředitelem a majitelem firmy táhlo několik týdnů. Ředitel byl pro zaplacení výkupného, protože celou věc viděl čistě ekonomicky – zaplatit výkupné bylo levnější a rychlejší než manuálně obnovovat a zadávat všechna data zpět do systémů. Majitel firmy si však postavil hlavu. Z principu nechtěl posílat zločincům žádné peníze. 

Jak se jednání protahovalo a firma nutně potřebovala fungovat, začala postupně zadávat do systémů alespoň ta nejdůležitější data. Po několika týdnech se tak dostala do situace, kdy už by bylo velmi pracné sloučit nově zadaná data s původními, i kdyby zálohy získala zpět. A nakonec se tedy rozhodli výkupné nezaplatit.

Útoky se začnou přesouvat i do cloudů

Jaké očekáváte trendy v ransomwarových útocích? 

V následujících letech se ransomwarové útoky nejspíš začnou postupně přesouvat i do cloudových prostředí, jako jsou Microsoft 365 nebo Google Workspace. Jsou to totiž stejně komplexní systémy jako tradiční on-premise infrastruktura, mají obrovské globální rozšíření a i zde dochází k různým zranitelnostem či chybám v konfiguraci, kterých útočníci můžou zneužít.  

Nemluvím zde o útocích vůči cloudovým poskytovatelům jako Microsoft nebo Google, ale o útocích na konkrétní instance, tedy tu část, za kterou je odpovědný samotný zákazník a jeho IT oddělení.  

Co si z článku odnést?   

  • Ani maximální snaha o zabezpečení systému vás nemusí ochránit před ransomwarovým útokem. Proto je klíčové mít zálohy, ze kterých půjde systém obnovit. Bez nich zbývají firmám jen špatné možnosti. 
  • První instinktivní reakce po útoku bývá u firem většinou správná: vypnout zasažené systémy a odpojit je od sítě, nebo rovnou celou firmu od internetu. 
  • Následně je ale nutné rychle prověřit, která data a systémy útok přežily, pátrat po tom, jak se útočníci do sítě dostali, a okamžitě připravit plán obnovy, včetně zajištění lidských zdrojů a potřebného hardwaru. 
  • Podle zkušenosti Martina Hallera asi třetina firma nakonec útočníkům zaplatí, protože je to pro ně levnější než riziko dlouhodobého výpadku. 
  • V nejbližších letech zřejmě vzroste počet ransomwarových útoků v cloudových prostředích
Kateřina Benešová Kateřina Benešová
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Ano, byl užitečný Může se hodit Byl příliš obecný Hledal jsem jinou informaci

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky

Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky

Zobrazit článek
Jak vybrat dodavatele v oblasti kybernetické bezpečnosti? Položte jim tyto otázky
Vývoj malwaru: od prvních teorií v 60. letech po dnešní kyberhrozby

Vývoj malwaru: od prvních teorií v 60. letech po dnešní kyberhrozby

Zobrazit článek
Vývoj malwaru: od prvních teorií v 60. letech po dnešní kyberhrozby
Aby vás nehackli jak McDonald’s. 10 zásad pro zabezpečení firemních účtů na sociálních sítích

Aby vás nehackli jak McDonald’s. 10 zásad pro zabezpečení firemních účtů na sociálních sítích

Zobrazit článek
Aby vás nehackli jak McDonald’s. 10 zásad pro zabezpečení firemních účtů na sociálních sítích
Jak vybudovat AI-driven firmu a zvídavé Česko, radí Jindřich Fremuth, generální ředitel O2 

Jak vybudovat AI-driven firmu a zvídavé Česko, radí Jindřich Fremuth, generální ředitel O2 

Zobrazit článek
Jak vybudovat AI-driven firmu a zvídavé Česko, radí Jindřich Fremuth, generální ředitel O2 
70 % úspěšných útoků jde přes mobily nebo notebooky. O2 přichází s pokročilou ochranou

70 % úspěšných útoků jde přes mobily nebo notebooky. O2 přichází s pokročilou ochranou

Zobrazit článek
70 % úspěšných útoků jde přes mobily nebo notebooky. O2 přichází s pokročilou ochranou
Co očekávat od roku 2025? Odpovídají odborníci z O2

Co očekávat od roku 2025? Odpovídají odborníci z O2

Zobrazit článek
Co očekávat od roku 2025? Odpovídají odborníci z O2
Jak správa záplat chrání vaši firmu? Objevte klíčové výhody patch managementu

Jak správa záplat chrání vaši firmu? Objevte klíčové výhody patch managementu

Zobrazit článek
Jak správa záplat chrání vaši firmu? Objevte klíčové výhody patch managementu
3 otázky pro 3 experty: Od strategie útoků po nedostatek odborníků

3 otázky pro 3 experty: Od strategie útoků po nedostatek odborníků

Zobrazit článek
3 otázky pro 3 experty: Od strategie útoků po nedostatek odborníků
asd