PRAHA – 20. května 2025 – Ransomware je jednou z nejnebezpečnějších kybernetických hrozeb, což potvrzuje i analýza kyberbezpečnostní společnosti Check Point Software Technologies. Z ní vyplývá, že 74 ransomwarových skupin v prvním čtvrtletí veřejně vydíralo 2289 obětí, což je meziroční nárůst o 126 %.
„Prudký nárůst může ale částečně souviset i s tendencemi některých skupin zveličovat své schopnosti a falšovat údaje o obětech. Tato taktika má zastrašit potenciální cíle a přimět je k zaplacení výkupného. Zároveň je potřeba zmínit, že organizace, které rychle zaplatí, obvykle nejsou uvedeny na ‚stránkách hanby‘, tedy hackerských stránkách sloužících k vydírání obětí. Údaje o úspěšných ransomwarových incidentech tak mohou být ve skutečnosti podhodnocené a reálný rozsah může být daleko větší,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Počty obětí veřejně vydíraných ransomwarovými skupinami
Nejaktivnějšími skupinami byly Cl0p, RansomHub a Babuk-Bjorka. Skupině Cl0p se dokonce podařilo zneužít platformu pro přenos souborů Cleo a ukradená data zneužít k hromadnému vydírání 300 obětí. Cl0p se svými oběťmi trochu odlišuje. 33 % obětí pochází z odvětví spotřebního zboží a služeb a 12 % z odvětví dopravy a logistiky, což je v obou případech více než dvojnásobek běžného průměru.
Babuk-Bjorka se prezentuje jako návrat ransomwarové skupiny Babuk, která ukončila činnost v roce 2021 poté, co byl zveřejněn její zdrojový kód. Ale neexistují žádné důkazy spojující Babuk-Bjorka s původní skupinou. Je pravděpodobnější, že noví kyberzločinci jen využívají známou značku k upoutání pozornosti médií a přilákání zájemců o spolupráci při prodeji ransomwaru jako služby. Analýza odhalila, že u mnoha obětí se jednalo o duplicitní incidenty, které byly už dříve připsány jiným ransomwarovým gangům. Navzdory tomu, že má skupina velmi dobrou pověst na hackerských fórech, řada zveřejněných obětí je pravděpodobně smyšlená nebo recyklovaná. Cílem je uměle si zlepšovat pověst a dosah na konkurenčním ransomwarovém trhu.
Ransomwarové skupiny a počty veřejně oznámených obětí – 1. čtvrtletí 2025
„Stejně jako v předchozích letech byla přibližně polovina všech zveřejněných obětí ze Spojených států, které jsou primárním cílem finančně motivovaných útoků. Většina obětí celkově pochází z vyspělých zemí, kde kyberzločinci očekávají organizace s většími finančními zdroji a tedy i vyšší pravděpodobností zaplacení výkupného,“ upozorňuje Tomáš Růžička.
Geografické rozdělení obětí ransomwarových gangů v 1. čtvrtletí 2025
„Celkově největšímu počtu kyberútoků čelí sektor vzdělávání a vládní sektor. Ale u ransomwarových útoků je situace odlišná, protože vyděračské gangy se zaměřují na organizace, které budou mít dostatek financí na zaplacení výkupného a budou ochotné zaplatit. Tomu odpovídá i výběr cílů. Nejvíce obětí (13 %), které byly veřejně vydírané ransomwarovými skupinami, proto pochází z odvětví spotřebního zboží a služeb. Na druhém místě jsou společnosti zaměřené na podnikatelské služby a třetím nejvíce zasaženým sektorem je průmyslová výroba. Čtvrtým nejčastěji vydíraným odvětvím je zdravotnictví, které si nemůže dovolit výpadky služeb ani úniky velmi citlivých dat o pacientech,“ dodává Tomáš Růžička.
Oběti ransomwarových útoků podle odvětví v 1. čtvrtletí 2025
Nové skupiny a roztříštěné prostředí
Po panice kolem pádu skupin LockBit a ALPHV se v ekosystému ransomwaru objevila řada nových skupin, které se snaží využít uvolněného místa po sesazených titánech. Tomu pomáhají i úniky zdrojových kódů vyděračských hrozeb, AI zrychlující a usnadňující vývoj malwaru a rostoucí krize důvěry mezi partnery a provozovateli ransomwaru jako služby.
Krádeže dat a komplikované měření dopadu
Určení skutečného rozsahu ransomwarových útoků je stále obtížnější, protože mnoho skupin přechází od tradičního šifrování k čistému vydírání ukradenými daty. Je to reakce na klesající ochotu obětí platit za dešifrovací klíče, navíc spravovat šifrovací infrastrukturu je složité a nákladné. Oběti se tedy nově o incidentu často nedozví při samotném narušení bezpečnosti, ale až když útočníci zveřejní na vyděračských stránkách ukázku ukradených dat s žádostí o výkupné.
Někteří kyberzločinci ale začali incidenty falšovat. Často se v takových případech jedná o zveřejnění dříve uniklých nebo veřejně dostupných materiálů. Může to být snaha vydírat i organizace, které ve skutečnosti nově napadené nebyly, nebo je to snaha budovat pověst nebezpečného gangu.
Organizace se proto musí zaměřit na prevenci a pokročilá bezpečnostní řešení využívají AI technologie, pokud se chtějí ubránit agresivním strategiím kyberzločinců.
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.