Ransomware 2026: Double extortion a proč klasické zálohy už nestačí

„Máme zálohy, jsme v pohodě."

Tohle jsme slýchali od firem ještě před pár lety. A měly pravdu – když vám ransomware zašifroval data, obnovili jste je ze zálohy a šli dál. Nepříjemné, ale zvládnutelné.

Jenže útočníci nejsou hloupí. Pochopili, že firmy se naučily zálohovat. A tak přitvrdili.

Vítejte v éře double extortion – a vysvětlíme vám, proč vaše zálohy samy o sobě už nestačí.

Co je double extortion (a proč byste měli zpozornět)

Klasický ransomware fungoval jednoduše: zašifrovat data, požadovat výkupné za dešifrování. Pokud jste měli zálohy, útočník odešel s prázdnou.

Double extortion přidává druhý tlak: útočníci vaše data nejdřív ukradnou a teprve potom zašifrují. A pak vám řeknou:

„Jasně, obnovte si data ze zálohy. Ale my je mezitím zveřejníme na dark webu. Osobní údaje zákazníků, smlouvy, finanční data, interní komunikaci... Zaplatíte, nebo to uvidí celý svět?"

A to není všechno. Některé skupiny jdou ještě dál – triple extortion přidává třetí vrstvu: útočníci kontaktují přímo vaše zákazníky, partnery nebo zaměstnance a vydírají je osobně. Nebo na vás spustí DDoS útok, aby vás donutili jednat rychleji.

Zní to jako scénář thrilleru? Bohužel je to realita roku 2025 a 2026.

Znepokojivá čísla

Než si řeknete „to se nám nemůže stát", podívejte se na fakta:

96 % ransomware útoků v roce 2024 zahrnovalo kromě šifrování i krádež dat. To znamená, že téměř každý útok dnes používá double extortion. Není to výjimka – je to standard.

NÚKIB v říjnu 2024 zaregistroval rekordních 9 ransomware útoků za jediný měsíc. To je nejvyšší číslo v historii sledování. A trend pokračuje.

Qilin – aktuálně nejaktivnější ransomware skupina na světě – má na kontě přes 700 útoků jen v roce 2025. Mezi jejich oběťmi jsou výrobní firmy, zdravotnictví, finance... a ano, i české společnosti. V srpnu 2025 zasáhli českou firmu CS STEEL.

Synnovis – britský poskytovatel laboratorních služeb pro NHS – odmítl zaplatit výkupné 50 milionů dolarů. Výsledek? Únik dat 900 000 pacientů a škody přes 40 milionů dolarů. A to nezaplatili ani korunu.

Pouze 23-25 % obětí dnes platí výkupné. Zní to jako dobrá zpráva? Je – ale jen částečně. Firmy se naučily nepodléhat vydírání. Horší zpráva je, že útočníci mají teď v arzenálu agresivnější metody.

Proč zálohy samy o sobě nestačí

Tady je klíčový bod, který mnohé firmy stále nechápu:

Útočníci kradou data PŘED šifrováním.

Typický útok dnes vypadá takto:

1. Útočník získá přístup (phishing, slabé heslo, nezáplatovaná zranitelnost)
2. Několik dní až týdnů se pohybuje po síti a mapuje prostředí
3. Najde citlivá data a tiše je exfiltruje – kopíruje ven
4. Teprve potom spustí šifrování

Když ráno přijdete do práce a všechno je zašifrované, útočník už dávno má kopii vašich dat. Záloha vám pomůže obnovit provoz – ale nezabrání úniku informací.

A únik informací znamená:

• GDPR pokuty – až 20 milionů EUR nebo 4 % obratu
• Reputační škody – ztráta důvěry zákazníků a partnerů
• Konkurenční výhoda pryč – vaše know-how je venku
• Právní spory – žaloby od dotčených osob

Záloha vás zachrání před výpadkem. Nezachrání vás před únikem.

Jak se útočníci dostávají dovnitř

Než budeme mluvit o obraně, je dobré vědět, kudy útočníci nejčastěji pronikají:

Phishing a spear-phishing – stále číslo jedna. Jeden klik na špatný odkaz a útočník má první pozici ve vaší síti. V roce 2025 jsou phishingové e-maily díky AI tak propracované, že i zkušení lidé naletí.

Kompromitované přihlašovací údaje – hesla unikají na dark web pravidelně. Pokud někdo ve firmě používá stejné heslo jako na LinkedIn (který byl hacknutý), máte problém.

Nezáplatované zranitelnosti – skupiny jako Qilin aktivně zneužívají známé chyby v běžném softwaru. Fortinet, Citrix, MOVEit... Pokud neaktualizujete, jste snadný cíl.

Vzdálený přístup (VPN, RDP) – v 60 % případů útočníci vstupují přes vzdálený přístup. Často stačí ukrast jedno heslo a mít přístup k VPN bez MFA.

Co s tím? Pět kroků, které fungují

Nebudeme vám tvrdit, že existuje 100% ochrana. Neexistuje. Ale můžete výrazně snížit pravděpodobnost útoku a hlavně – minimalizovat dopady, když k němu dojde.

1. Zálohy ano, ale správně

Zálohy stále potřebujete – ale musí být:

• Oddělené od produkční sítě – útočníci cíleně vyhledávají a šifrují zálohy
• Neměnné (immutable) – nikdo je nemůže přepsat ani smazat
• Pravidelně testované – záloha, kterou jste nikdy neobnovili, je jen iluze bezpečí
• Offline kopie – aspoň jedna kopie, která není nikdy připojená k síti

Pravidlo 3-2-1: tři kopie dat, na dvou různých médiích, jedna mimo budovu.

2. Detekce exfiltrace dat

Tady je mezera, kterou má většina firem. Sledujete, kdo a kolik dat odesílá ven? Většina ne.

• Monitorujte neobvykle velké odchozí přenosy
• Sledujte přístupy k citlivým datům mimo běžnou pracovní dobu
• Implementujte DLP (Data Loss Prevention) nástroje
• Logujte všechno a pravidelně kontrolujte anomálie

Útočník, který tiše kopíruje terabajty dat, by měl vyvolat alarm. Pokud ho nevyvolá, máte slepá místa.

3. Segmentace sítě

Když útočník pronikne dovnitř, nechcete, aby měl přístup ke všemu. Segmentace znamená:

• Oddělte produkční a zálohovací prostředí
• Omezte laterální pohyb – útočník by neměl z účetního PC vidět výrobní servery
• Kritická aktiva izolujte od běžné kancelářské sítě

Čím víc „hranic" ve vaší síti, tím těžší je pro útočníka dostat se k cenným datům.

4. MFA všude, kde to jde

Vícefaktorová autentizace zastaví většinu útoků přes kompromitované heslo. Prioritně:

• VPN a vzdálený přístup
• E-mail a cloudové služby
• Administrátorské účty
• Přístup k zálohám

A ne, SMS kód není ideální MFA. Autentizační aplikace nebo hardwarové klíče jsou lepší volba.

5. Incident response plán

Až se něco stane (a statisticky se stane), chcete vědět, co dělat. Plán reakce na incident by měl obsahovat:

• Kdo rozhoduje a kdo koná
• Jak izolovat napadené systémy
• Komu volat (interně i externě)
• Jak komunikovat se zaměstnanci, zákazníky, médii
• Kdy a jak hlásit NÚKIB (máte 24 hodin na prvotní hlášení)

Plán v šuplíku nestačí – pravidelně ho testujte. Tabletop cvičení jednou za rok vám ukáže, kde máte mezery.

Co říká zákon

Nový zákon o kybernetické bezpečnosti (č. 264/2025 Sb.) není jen o papírech. Přímo adresuje i ransomware:

Povinnost zálohování – musíte mít zálohy a musíte je testovat. To už není best practice, to je zákon.

Hlášení incidentů – ransomware útok s významným dopadem musíte nahlásit NÚKIB do 24 hodin. Do 72 hodin podrobné oznámení, do 30 dnů závěrečnou zprávu.

BCP/DRP plány – musíte mít plán kontinuity provozu a obnovy po havárii. A musíte ho testovat.

Řízení rizik – musíte identifikovat, vyhodnocovat a ošetřovat rizika. Ransomware je dnes riziko číslo jedna.

Pokud spadáte pod regulaci (a podle NIS2 jsou takových firem tisíce), tohle není volitelné.

Shrnutí: Co si odnést

1. Double extortion je nový standard – útočníci kradou data před šifrováním
2. Zálohy řeší jen polovinu problému – chrání před výpadkem, ne před únikem
3. Detekce exfiltrace je kritická – a většina firem ji nemá
4. MFA a segmentace jsou základ – bez nich jste snadný cíl
5. Plán reakce rozhoduje – až se to stane, improvizace nestačí

Ransomware není otázka „jestli", ale „kdy". Rozdíl mezi firmou, která přežije, a firmou, která nepřežije, je v přípravě.

Potřebujete pomoct s přípravou?

Kraita Cyber One vám pomůže zmapovat rizika, připravit dokumentaci i nastavit procesy – včetně plánu reakce na incidenty. A díky AI to zvládnete za zlomek času, který byste strávili s Excelem a konzultanty. O zlomku nákladů nemluvě.

→ [Vyzkoušejte demo zdarma]

‍