Článek přečtěte do 6 min.

Lednová data z globálního monitoringu hrozeb potvrzují, že aktivita ransomwarových skupin nepolevuje. S celkovým počtem 831 nárokovaných obětí dle DLS sledujeme meziroční nárůst o necelých 10 %. Pro management českých firem je to jasný signál: útočníci efektivně škálují své operace a využívají stále pokročilejší modely distribuce malwaru (RaaS).

Obsah tohoto článku vychází z reportu našeho partnera Bitdefender, který se zabývá aktuální situací v oblasti distribuce malwaru.

Počet obětí ransomwaru (Meziroční srovnání)

0APT: Ransomware, nebo reputační hra?

Skupina 0APT se na scéně objevila teprve v roce 2026 a během pouhých 48 hodin zveřejnila 91 údajných obětí. Takto rychlý nástup je v ransomwarovém prostředí velmi neobvyklý – i zavedené skupiny běžně nedosahují podobných čísel v tak krátkém čase.

Je důležité zdůraznit, že jde o tzv. „claimed victims“, tedy oběti nárokované útočníkem na jeho leak webu. Nejde o nezávisle potvrzené incidenty a jejich skutečný rozsah nelze automaticky považovat za reálné kompromitace produkčních prostředí.

Dalším podezřelým faktorem je model Ransomware-as-a-Service nabízený zdarma. V běžném prostředí RaaS je standardem vstupní poplatek nebo podíl z výkupného. Bezplatný vstup tak může naznačovat spíše snahu rychle získat pozornost a budovat reputaci než stabilní a funkční kriminální infrastrukturu. Pravděpodobným vysvětlením prudkého nárůstu „obětí“ může být chybné vyhodnocení spuštění malwaru v bezpečnostních sandboxech jako reálné infekce. Část zveřejněných organizací tak nemusí představovat skutečně kompromitované firmy.

Pro firmy to znamená jediné: pokud se objeví na seznamu 0APT, měly by situaci důkladně prověřit, ale nepodléhat okamžité panice. Vysoká čísla zveřejněná na leak webech automaticky neznamenají vysokou reálnou úspěšnost útoků.

TOP 10 Ransomware skupin (Leden 2026)

Zneužití Notepad++ jako supply chain riziko

Nedávný incident potvrzuje, že útoky se stále častěji přesouvají do oblasti dodavatelského řetězce. Útočník zneužil kompromitaci distribuce softwaru Notepad++ k cíleným útokům na organizace v Asii a Střední Americe. Nešlo tedy o běžnou zranitelnost aplikace, ale o zneužití důvěryhodného nástroje jako vstupního bodu do infrastruktury obětí.

Podle dostupných informací byla kampaň pravděpodobně spojena se státem podporovaným aktérem napojeným na čínské zájmy. Cílem bylo získání přístupu do systémů obětí, špionáž a nasazení dalšího malwaru narušujícího provoz.

Tento typ útoku je nebezpečný především tím, že obchází tradiční bezpečnostní kontrolní mechanismy – samotná aplikace je považována za legitimní a běžně používanou. Organizace by proto měly věnovat zvýšenou pozornost aktualizačním procesům, logování síťové komunikace a monitoringu chování aplikací i u běžně využívaných nástrojů.

Kritická místa: Výroba a technologie v první linii

Z pohledu cílení útoků zůstává nejohroženějším segmentem výrobní průmysl následovaný technologickými firmami. Motivace útočníků je v tomto případě ryze pragmatická. Výrobní linky a technologické procesy jsou extrémně citlivé na dostupnost. Každá hodina neplánované odstávky generuje přímé finanční ztráty, což útočníkům dává silnou vyjednávací pozici při požadavku na výkupné.

Počet incidentů podle odvětví (Leden 2026)

Když ani zaplacení výkupného data nevrátí

Technická analýza lednových útoků odhalila zásadní selhání u ransomwaru Nitrogen, který se zaměřuje především na virtualizační platformy ESXi. Útočníci v tomto případě udělali fatální chybu ve svém vlastním dešifrovacím nástroji. Místo privátního klíče použili chybný veřejný klíč, což v praxi znamená, že proces šifrování je nevratný.

Pro napadenou organizaci je to kritické zjištění: i kdyby se rozhodla přistoupit na vydírání a zaplatit, získaný nástroj jí data nemusí vrátit. Tento případ jasně demonstruje, že kyberzločinci nejsou profesionální dodavatelé a jejich „služby“ nemají žádné záruky. Investice do obnovy ze záloh je tak v tomto případě jedinou cestou, bez ohledu na požadavky útočníků.

5 doporučení pro posílení kybernetické odolnosti

Na základě aktuálních dat doporučujeme zaměřit pozornost na následující oblasti:

  • Revize privilegií: Omezte administrativní práva na koncových stanicích. Incident s Notepad++ ukazuje, jak snadno lze zneužít nástroje běžné denní potřeby.
  • Implementace EDR/MDR: Tradiční antivirus již nestačí. Je nezbytné mít nástroje, které monitorují podezřelé chování v síti v reálném čase, například Bitdefender.
  • Patch management: Skupiny jako Clop se specializují na zero-day zranitelnosti. Rychlost nasazování bezpečnostních záplat je kritickým faktorem úspěšné obrany.
  • Izolace záloh: Zálohy musí být fyzicky nebo logicky odděleny od hlavní sítě (tzv. air-gap), aby je ransomware nemohl v první fázi útoku smazat nebo zašifrovat.
  • Prověřování dodavatelů: Definujte bezpečnostní standardy pro partnery, kteří mají vzdálený přístup do vaší infrastruktury.

Kybernetická bezpečnost v roce 2026 není o jednorázovém nákupu softwaru, ale o kontinuálním procesu vyhodnocování rizik a adaptaci na měnící se hrozby. V Solutia pomáháme firmám stavět architektury, které jsou odolné nejen proti známým virům, ale i proti sofistikovaným cíleným útokům.

Konzultujte svou bezpečnostní strategii s našimi experty

Často kladené dotazy

Platba výkupného je vždy extrémně rizikový krok, který v Solutia zásadně nedoporučujeme. Kromě toho, že tím financujete další kriminální činnost, nemáte žádnou záruku, že data skutečně získáte zpět. Technická analýza incidentů z roku 2026 navíc ukazuje, že útočníci často dělají chyby ve svých dešifrovacích nástrojích, což činí data nevratně poškozená bez ohledu na platbu. Jedinou bezpečnou cestou je obnova z izolovaných záloh.

Tradiční antivirus reaguje na již známé hrozby, což v roce 2026, kdy útočníci využívají pokročilé modely distribuce a umělou inteligenci, nestačí. EDR (Endpoint Detection and Response) a MDR (Managed Detection and Response) nástroje monitorují podezřelé chování v reálném čase. Dokážou tak identifikovat anomálie, jako je neobvyklý pohyb v síti nebo pokus o kompromitaci důvěryhodných aplikací, dříve, než dojde k zašifrování dat.

Útoky přes dodavatelský řetězec zneužívají důvěryhodné nástroje a partnery, aby obešly vaši obranu. Základem ochrany je revize politiky administrativních práv a používání open-source či freeware aplikací na stanicích s vysokými privilegii. Důležité je také definovat jasné bezpečnostní standardy pro partnery se vzdáleným přístupem do vaší infrastruktury a pravidelně prověřovat jejich shodu s vaší bezpečnostní architekturou.

Prvním krokem je okamžitý audit bezpečnosti a prověření logů, abyste zjistili, zda skutečně došlo k průniku do produkčního prostředí. Útočníci někdy uvádějí jména firem jen na základě neúspěšných pokusů o infekci v testovacích sandboxech, aby si uměle budovali reputaci. Je důležité situaci prověřit odborníky, ale nepodléhat panice a nekomunikovat s útočníky bez předem stanovené strategie.

Rychlost nasazování bezpečnostních záplat je kritickým faktorem, protože specializované skupiny se zaměřují na tzv. zero-day zranitelnosti. Časové okno mezi zveřejněním chyby a jejím zneužitím útočníky se neustále zkracuje. Automatizovaný patch management zajistí, že kritické systémy nebudou mít otevřené dveře pro malware, který se šíří skrze nezabezpečené softwarové slabiny.

Moderní ransomware se v první fázi útoku snaží najít a smazat nebo zašifrovat dostupné zálohy v síti, aby firmu připravil o možnost obnovy. Zálohy s funkcí air-gap jsou od hlavní sítě fyzicky nebo logicky izolované. To znamená, že i když útočník ovládne celou vaši infrastrukturu, k těmto zálohám se nedostane, což vám dává absolutní jistotu, že vaše data zůstanou nedotčená a připravená k obnově.