Ransomware

imork-ransomware-kill-chain

Historie ransomware (1989–2024)

Rok	Ransomware	Význam
1989	AIDS Trojan	První známý ransomware — šířen na disketách
2004	GPCode	Šifrování souborů (RSA až od varianty Gpcode.ac z 2006)
2013	CryptoLocker	Průlomový — Bitcoin platby, silné šifrování
2017	WannaCry	Exploit EternalBlue (uniklý z NSA), 200 000+ obětí ve 150 zemích
2017	Petya / NotPetya	Destruktivní wiper maskovaný jako ransomware
2019	Maze	Průkopník double extortion — šifrování + hrozba zveřejnění dat
2021	REvil	Masivní útoky na dodavatelské řetězce (Kaseya)

Obchodní model — vývojáři pronajímají ransomware afiliátům za podíl z výkupného
Double extortion — šifrování dat + hrozba jejich zveřejnění
Triple extortion — navíc DDoS útok na oběť nebo kontaktování zákazníků oběti
Propojení s organizovaným kybernetickým zločinem

Případ	Výkupné	Detail
Colonial Pipeline	$4,4M	Odstávka největšího palivovodu v USA
JBS Foods	$11M	Největší zpracovatel masa na světě
Kia Motors	$20M (požadováno)	DoppelPaymer požadavek; Kia útok ransomwarem oficiálně popřela, platba nepotvrzena

DeadBolt — cílení na QNAP NAS zařízení (domácnosti i firmy)
BlackCat / ALPHV — triple extortion RaaS, napsaný v Rustu (první ransomware v tomto jazyce)

HardBit 2.0 — útočníci žádají oběti o informace o pojistném krytí (pojistný podvod)
Rorschach — nejrychlejší známé šifrování (dosud)
Phobos — varování CISA (advisory AA24-060A z 2/2024); cílení na samosprávy, školství, zdravotnictví, kritickou infrastrukturu; iniciální přístup přes phishing a nezabezpečené RDP

Podíl obětí, které po platbě získají data zpět, kolísá podle ročníků — starší studie Sophos uváděly ~75 %, novější (2024–2025) klesají k cca 50 %
Průměrné výkupné Q3/2019: $41 198 (Coveware)
Náklady na obnovu: 5–10× výše výkupného (downtime, reputace, forenzní analýza)
Trend výkupného strmě stoupá — v roce 2021 průměr přes $200 000 (Coveware Q4/2021)

Založeno na NIST Cybersecurity Framework (NISTIR 8374 z 2/2022 = profil CSF 1.1, 5 pilířů; pozn. CSF 2.0 z 2024 přidává 6. pilíř Govern):

Pilíř	Aktivity
Identify	Inventarizace aktiv, analýza rizik, mapování procesů
Protect	Zálohy (pravidlo 3-2-1), segmentace, školení, bezpečnostní politiky
Detect	Monitoring, EDR/XDR, analýza anomálií
Respond	Incident response plán, komunikace, forenzní analýza
Recover	Obnova ze záloh, kontinuita provozu, poučení

Žádná záruka dešifrování
Financování dalšího zločinu
Opakované cílení na „platící" oběti
Projekt No More Ransom (Europol + partneri) — bezplatné dešifrovací nástroje
Český trestní zákoník (zák. č. 40/2009 Sb.) — platba ransomu může být v určitých případech kvalifikovaná podle §312d (financování terorismu, je-li skupina napojená na terorismus), §361 (účast na organizované zločinecké skupině, typicky u RaaS) nebo §216 (legalizace výnosů z trestné činnosti). §230 trestního zákoníku se naopak týká útočníka — neoprávněný přístup k počítačovému systému

3 kopie dat
2 různá úložná média
1 kopie mimo pracoviště (offsite / cloud)
Klíčové: zálohy musí být odpojené (air-gapped) — jinak je ransomware zašifruje také