Ransomware útok nezačíná šifrováním, ale smazáním záloh

Čísla, která mění perspektivu

Vloni zažilo 69 % organizací ransomware útok. To samo o sobě není překvapivé. Překvapí však druhý údaj: 89 % z nich potvrdilo, že útočníci cílili primárně na zálohy, ne na produkční data. Meziročně přibylo útoků o 45 %. Aktivních ransomware skupin je dnes 134, přičemž až 85 z nich operuje současně. 

A mediánová velikost napadené firmy? 228 zaměstnanců. Není to zkrátka problém velkých IT korporátů, které se rozhodli škrtit bezpečností budget. Je to problém všech.

Jak útok reálně probíhá

Představa útočníka, který se nabourá do sítě a okamžitě začne šifrovat a chtít výpalné, je zastaralá. Moderní ransomware operace jsou metodické, trpělivé a cílené.

Fáze 1: Získání přístupu

Vstupní vektory jsou dnes překvapivě vyrovnané. Phishing, kompromitované VPN přihlašovací údaje a nezáplatované zranitelnosti se pohybují každý kolem 25 – 30 %. Žádný jednoznačně nedominuje. Útočník vstoupí nenápadně, bez alarmu.

Fáze 2: Tiché mapování

Po průniku útočník nespěchá. Mapuje síť, eskaluje oprávnění, identifikuje klíčové systémy a lokalizuje záložní infrastrukturu.

Fáze 3: Exfiltrace

Ještě před jakýmkoli destruktivním krokem dochází k exfiltraci dat. Tady je důležité číslo: 74 % ransomware útoků dnes vůbec nešifruje. Útočník data ukradne a odejde. Šifrování je dnes volitelný krok navíc. Vydírání funguje i bez něj.

Fáze 4: Zničení záloh

Teprve poté přichází destruktivní fáze a začíná u záloh. Útočník smaže snapshoty, zastaví backup služby, přepíše retention policy v repozitáři. Zálohy zmizí dřív, než si kdokoli uvědomí, že probíhá útok.

Fáze 5: Šifrování — typicky v pátek večer

Poslední krok přijde ve chvíli, kdy je obnova nejméně pravděpodobná. Typicky před dlouhým víkendem. V tuto chvíli není co obnovovat.

Proč zálohy selhávají

Zálohy u většiny napadených firem existovaly. Problém nebyl jejich absence, ale to, že byly kompromitovatelné, nedostupné nebo nefunkční způsobem, který nikdo předem netestoval.

Čtyři nejčastější slabiny:

Co přijde po útoku

Průměrná doba obnovy v roce 2025 byla 24 dní. Pro srovnání: ještě před několika lety to byly jednotky dní. Nárůst není způsoben horší technologií. Je způsoben tím, že zálohy jsou kompromitované nebo nepřipravené na skutečný scénář obnovy.

Finanční realita je stejně tvrdá. Průměrné výkupné překročilo milion dolarů, medián se pohybuje kolem 400 tisíc. Výkupné ale zaplatí jen každá čtvrtá firma a ani ta nemá jistotu, že data dostane zpět v použitelném stavu.

Zálohy jsou Tier 0 asset

Záložní infrastruktura potřebuje stejnou úroveň ochrany jako produkce, nebo vyšší. V praxi to znamená:

Backup server musí stát mimo doménu nebo mít striktně oddělené přihlašovací údaje. Repozitář musí být chráněn imutabilitou, ať už jako Hardened Repository nebo S3 objektové úložiště s nastaveným immutable retention. Přístup ke správě záloh musí vyžadovat MFA bez výjimky. A obnova musí být pravidelně testována v izolovaném prostředí,

Nástroje jako Veeam SureBackup umožňují ověřit obnovitelnost v izolovaném prostředí bez dopadu na produkci. Rozdíl mezi „máme backup” a „máme ověřenou obnovu” je právě zde.

Firmy také potřebují znát své RTO (jak dlouho může být služba mimo provoz) a RPO (kolik dat si mohou dovolit ztratit). Bez těchto parametrů nelze rozhodnout, co stačí zálohovat a kde už dává smysl disaster recovery scénář s replikací do oddělené DR lokality.

Závěr

Útočníci v roce 2025 nepřekonávají zálohy. Oni je cílené odstraňují, a teprve pak zasáhnou produkci. 89 % napadených organizací to potvrzuje z vlastní zkušenosti. Zálohy zůstávají absolutním základem. Bez nich se o odolnosti nedá mluvit. Ale samotná existence zálohy nestačí. Záloha, která není oddělena od domény, chráněna imutabilitou a pravidelně testována, není záloha. Je to falešný pocit bezpečí.