Ransomware v praxi: infiltrace, exfiltrace a identita jako klíčový faktor odolnosti organizací

Ransomware představuje jednu z nejzávažnějších hrozeb současného kyberprostoru. Jeho dopad dalece přesahuje rámec běžného provozního narušení a zasahuje samotnou existenci organizací.

V tomto článku analyzujeme průběh ransomwarových útoků, techniky exfiltrace dat a specifika útoků v cloudovém prostředí. Zaměřujeme se jak na teoretická východiska, tak na empirické poznatky z praxe, které ukazují skutečný způsob, jakým útočníci operují.

Charakteristika a vývoj ransomwaru

Ransomware prošel za posledních deset let zásadní proměnou. Z původního jednoduchého vyděračského malwaru, který pouze šifroval soubory na koncových stanicích, se stal komplexní ekosystém s vlastní ekonomikou, specializovanými rolemi a promyšlenými metodami vyjednávání.

Současné kampaně často fungují podle modelu Ransomware-as-a-Service (RaaS), kdy hlavní vývojář poskytuje nástroj či infrastrukturu partnerským skupinám (afilacím), které provádějí samotné útoky. Tento model umožnil prudkou profesionalizaci a rozšíření ransomwaru i mimo tradiční skupiny s vysokou technickou expertizou.

Základním cílem zůstává zisk, ať už přímý prostřednictvím výkupného, nebo nepřímý formou prodeje dat, přístupů či reputačního tlaku. Trendy z posledních let, popsané i v analýze ENISA Threat Landscape (ENISA, 2024), ukazují, že stále častěji dochází ke kombinaci více forem vydírání, a hovoří se i o tzv. quadruple extortion, kdy útočníci nejen šifrují data a exfiltrují citlivé informace, ale i kontaktují zákazníky nebo partnery oběti a vyhrožují zveřejněním incidentu či spuštěním DDoS útoku.

Průběh útoku a infiltrace prostředí

Ransomwarový útok je často až finálním projevem dlouhodobé infiltrace. Předcházejí mu fáze průzkumu, laterálního pohybu a eskalace oprávnění, které mohou probíhat i týdny bez povšimnutí.

Donedávna se za vstupní vektor považoval výhradně phishing. Sociální inženýrství zůstává samozřejmě dál účinné, zejména v menších organizacích bez dostatečného školení. Nicméně, jak ukazují zkušenosti z reálné praxe, ne vždy je na vině uživatel. Většina útoků v posledních letech totiž začíná jinými cestami:

• úniky přihlašovacích údajů ze zařízení používaných pro práci z domova,
• kompromitace účtů dodavatelů nebo servisních partnerů,
• zneužití zranitelností v bezpečnostních nástrojích či v nástrojích vzdálené správy.

Útočníci se často snaží proniknout do prostředí nepřímo, přes kompromitované dodavatelské účty nebo s pomocí insiderů, kteří za finanční odměnu poskytují přístup do interní sítě. Na černém trhu se běžně obchoduje s přístupy k firemním sítím, přičemž cena se odvíjí od velikosti organizace a dosažené úrovně oprávnění.

Po úspěšném průniku útočník obvykle neprovádí okamžité šifrování. Naopak se snaží získat privilegované přístupy, zejména k Active Directory (AD), které je pro něj cílem nejvyšší hodnoty. Jakmile útočník dosáhne AD, může efektivně ovládnout celé prostředí, a to včetně databází, cloudových účtů i záloh. Při dosažení AD se často vytváří persistence ve formě skrytých AD objektů a není možné ve 100 % odhalit útočníka.

Pokud útočník získá systémová nebo doménová administrátorská práva, může zastavit službu Active Directory Domain Services (NTDS), čímž dojde k odemknutí souboru C:\Windows\NTDS\ntds.dit a umožnění jeho šifrování. Heslo pro NTDS.dit je v registrech, takže se dá snadno získat a použít.

Stejně tak může zašifrovat SYSVOL GPO a skripty, což paralyzuje politiku přihlášení uživatelů. Při aktivní replikaci DFS-R může být šifrovaný obsah automaticky rozšířen i do dalších lokalit.

Ve většině případů jsou tyto útoky koordinované a simultánní. Šifrování bývá spuštěno centrálně prostřednictvím command and control (C&C) serverů, které svou funkcionalitou často připomínají legitimní nástroje pro správu IT infrastruktury. Důvodem je minimalizace šance detekce a současné spuštění na desítkách systémů zároveň snižuje možnost, že bezpečnostní tým včas zareaguje. Dost často navíc organizace nemají v rámci IRP stanovenou prioritizaci.

Exfiltrace a šifrovací fáze

Zatímco starší varianty ransomwaru se omezovaly na prosté šifrování, moderní útoky téměř vždy zahrnují exfiltraci dat, takže kromě narušení integrity a dostupnosti dochází i k narušení důvěrnosti. Odcizení citlivých informací představuje mnohdy ještě větší páku, jak působit na oběť.

Exfiltrace databází a velkých souborových úložišť není triviální. Útočníci využívají řadu technik umožňujících odnést velké objemy dat bez detekce. Patří mezi ně využití legitimních systémových nástrojů (living off the land), export dat pomocí nativních funkcí DBMS do formátů jako CSV či JSON, a zejména pomalý přenos dat v malých blocích, tzv. low and slow exfiltrace, který se ztrácí v běžném síťovém provozu.

Vlastní šifrování trvá řádově desítky minut až malé hodiny a po provedení šifrování je pak v systému zanechána zpráva. Tato zpráva se vyskytuje v systémech na různých místech, protože i model šifrování se různí. Útočníci mohou šifrovat celé virtuální servery (dnes díky agregaci služeb je na jednom fyzickém serveru provozováno více serverů virtuálních, aby se optimalizovaly náklady za energie a docházelo k efektivnímu využití IT infrastruktury) a tak by neměli kde zprávu zanechat, a proto je často umístěna přímo v managementu virtualizační platformy, případně na diskových storage.

V případě, že je šifrování pomalejší a prováděno uvnitř systému, pak se často tyto zprávy najdou na ploše, případně ve všech složkách systému. V minulosti často docházelo ke změně pozadí na ploše serveru nebo počítače, a tento soubor plochy v sobě ukládal často primární klíč a obrázek byl vytvořen na každém zařízení unikátně.

Často se používá i DNS tunelování (data zakódovaná do DNS dotazů a odpovědí) nebo přenos přes šifrované protokoly (HTTPS, SSH, VPN). Někdy útočníci sahají po steganografii (skrývání dat v obrázcích nebo dokumentech). Pro odnášení velkého množství dat bývají využívány nástroje jako rsync nebo robocopy.

Ve skutečných incidentech se opakovaně potvrzuje, že po fázi exfiltrace dochází ke kompresi a rozdělení dat do menších částí, které jsou následně přenášeny na exfiltrační servery či mirrory. Tam jsou data analyzována (často i lokálními AI modely) kvůli určení dat s největší hodnotou (crown jewels). Na základě tohoto posouzení pak bývá stanovena výše výkupného, která často odpovídá přibližně 10 % ročního obratu organizace.

Moderní ransomwary se zaměřují i na zničení záloh. Útok na zálohovací systémy bývá zahájen krátce před samotným šifrováním, aby byla obnovitelnost minimální. Zálohy uložené ve stejném ekosystému (on-prem nebo cloud) a neoddělené fyzicky či logicky jsou často kompromitované. Například EBS snapshoty v AWS nebo Recovery Vault v Azure lze při chybném nastavení IAM smazat i u immutable kopií.

Ransomware v cloudovém prostředí

S rozvojem cloudu se útočníci stále častěji zaměřují na IaaS, PaaS i SaaS. Cloud poskytuje flexibilitu, ale také centralizaci identit a oprávnění, což v případě kompromitace znamená potenciálně větší dopady než v on-prem prostředí.

Klíčovým prvkem je zde Identity and Access Management (IAM), který určuje, kdo a jakým způsobem přistupuje ke zdrojům, a který je v cloudu zároveň i Achillovou patou. Útočník, který získá přístupový token, klíč API nebo zneužije špatně nakonfigurovanou roli, může převzít plnou kontrolu nad projektem a to včetně možnosti smazat snapshoty, měnit konfigurace či spouštět nové instance. Zajímavé nástroje najdete např. zde.

Z hlediska incident response jsou kritické tři jevy:

• Chybná izolace tenantů (multi-tenancy isolation) – u menších poskytovatelů může vést ke kompromitaci více zákazníků současně.
• Nedostatečné oddělení záloh – pokud jsou zálohy ve stejném účtu/subscription jako produkce, lze je smazat či přepsat.
• RaaS útoky proti cloud-native architekturám – Kubernetes, CI/CD a serverless (např. AWS Lambda), kde útočníci šifrují volume, mažou konfigurace nebo přepisují artefakty.

Specifickým rysem je, že nemusí dojít k klasickému šifrování dat. Útočníci často jen smažou či pozmění konfigurační soubory a vyřadí běhové prostředí. Ransom note se pak může objevit v metadatech cloudu, v kódu funkce nebo přímo jako banner ve webové aplikaci.

Útočníci cílí i na podpůrné IT systémy (logovací servery apod.), aby omezili detekci. Často zůstávají jen lokální logy na firewallech, které je nutné rychle zajistit pro forenzní šetření; jejich retence však bývá krátká (minuty až dny) kvůli limitům úložiště.

Obranné a preventivní strategie

Efektivní obrana vyžaduje kombinaci technických, organizačních a procesních opatření. Technologické řešení samo o sobě nestačí bez odpovídající správy identit, segmentace a kultury bezpečného chování.

Základem je zásada minimálních oprávnění (least privilege) a přístup jen k nezbytně nutným datům (need-to-know). K tomu se váže implementace PAM (Privileged Access Management), ideálně s časově omezeným přidělením oprávnění (just-in-time access).

Dalším klíčovým prvkem je segmentace sítě. Oddělení administrativních, serverových a uživatelských zón omezuje laterální pohyb útočníka. Doporučuje se, aby účty s doménovou správou neměly přístup na internet, e-mail ani RDP, a byly používány pouze z důvěryhodných terminálů.

Z procesního pohledu je nezbytné mít Incident Response Plan (IRP), který je pravidelně testován a uložen i mimo digitální prostředí, ideálně v papírové podobě. Klíčové je počítat s tím, že incident nastane, a připravit organizaci na rychlou obnovu.

Následující opatření tvoří rámec obrany:

• Pravidelné zálohování a testování obnovy včetně offline/oddělených kopií (WORM storage).
• Aktualizace a hardening systémů (vypnutí nepotřebných služeb, změny výchozí konfigurace, omezení síťových spojení jen na nezbytné).
• Zákaz maker, skriptování a spouštění neautorizovaného softwaru.
• Filtrování webového provozu a kontrola přístupů na rizikové kategorie (cloudová úložiště, sociální sítě, anonymizační služby).
• MFA pro bezpečnou autentizaci.
• EDR/XDR pro detekci anomálií.
• SIEM pro monitorování a korelaci událostí (např. změny ve skupině „Domain Admins“, neobvyklá zastavení služeb apod.).

Detailní doporučení poskytují např. CISA (2025) a ENISA (2024), které vydaly obsáhlé příručky k ransomwarovým hrozbám a reakci na ně.

Diskuse

Na základě analýzy i zkušeností z praxe lze konstatovat, že ransomware dnes představuje spíše ekosystém než jednotlivou techniku. Útočníci kombinují ekonomickou racionalitu, psychologický tlak a technologickou přesnost. Úspěch útoku je výsledkem řetězce drobných selhání v řízení přístupů, konfiguracích, procesech i v lidském chování.

Shodujeme se, že klíčem k odolnosti je disciplinovaná správa prostředí, průběžná kontrola a připravenost na incident. Dále pak školení zaměstnanců, organizační řízení a bezpečnostní hygiena prostředí. Klíčové pak je, aby simulace ztráty identity byla prioritou v každém playbooku, protože bez řízení přístupu k identitám ztrácí ostatní opatření efektivitu a zálohy i segmentace se stávají druhořadými.

Moderní kybernetická odolnost je výsledkem propojení lidského faktoru, technické architektury a strategického managementu.

Jedním z nejlepších bezpečnostních opatření, je poznat sám sebe při řízeném kybernetickém útoku v modelu Assume Breach. Tato simulace zahrnuje situaci, kdy testeři (Red Team) sedí na vybraném rádoby kompromitovaném zařízení (pracovní počítač, terminálový server, webový server v DMZ, cloud virtuální server) a v průběhu týdnů až měsíců se snaží obejít všechna bezpečnostní opatření (EDR/XDR, NIDS, hardening, atd.), vytvořit, na míru organizace, i full undetectable malware (FUD) pro připojení C&C a získat tak přístup k Active Directory nebo k vybraným systémům organizace.

Tento model testování v digitálním prostoru může být omezen tak, že při něm nejsou zneužívány fyzické a lidské aspekty (není použito sociální inženýrství, jako například phishing), ale i tak o něm ví jen vybraná skupina uživatelů organizace. Během testu se ověřují nejen funkčnosti opatření, ale hlavně procesy organizace, jako například detekce schopnost organizace, případně aktivní blokace útočníka v síti. I když Red Team systémem projde, tak je důležité, že si to organizace vyzkouší a dokáže v čase upravovat a ladit svá opatření a procesy a tak sníží míru rizika úspěšného útoku jako celku, protože každé opatření je možné obejít a zavedená opatření jen zvyšují čas, který má organizace k tomu, aby dokázala útočníka v síti detekovat.

Závěr

Ransomwarové útoky jsou sofistikované, ekonomicky motivované a často dlouhodobě připravované. Typický scénář: infiltrace prostředí, zisk privilegií, exfiltrace dat, likvidace záloh a následné šifrování. Rozdíl mezi úspěchem a selháním často spočívá v základních principech: řízení identit, oddělení prostředí, aktualizace a připravenost reagovat. A samozřejmě také v tom, koho si na najmete jako konzultanta, protože jsou tady konzultanti z firem, kteří mají reálné zkušenosti a pak tací, co o tom umí jen poutavě vyprávět.

LITERATURA

Část textu vychází z dlouhodobé praxe v oblasti incident response a forenzních šetření v organizacích napadených ransomwarem. Tyto poznatky nejsou veřejně publikovány, ale odrážejí reálné zkušenosti expertů z terénu, kteří analyzovali desítky případů napříč sektory.

• ENISA. Threat Landscape for Ransomware Attacks. Heraklion: European Union Agency for Cybersecurity, 2024. Online. Dostupné z: https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks. [cit. 2025-10-10].
• UNITED STATES. Cybersecurity and Infrastructure Security Agency. Stop Ransomware Guide. Washington, D.C.: CISA, 2025. Online. Dostupné z: https://www.cisa.gov/stopransomware/resources. [cit. 2025-10-10].
• SOUPPAYA, Murugiah. Ransomware Risk Management: A Cybersecurity Framework 2.0 Community Profile. NIST IR 8374r1 ipd. Gaithersburg, MD: National Institute of Standards and Technology, 2025. Online. Dostupné z: https://doi.org/10.6028/NIST.IR.8374r1.ipd. [cit. 2025-10-10].

Abstrakt

Tento článek analyzuje současné ransomwarové hrozby z hlediska jejich průběhu, infiltrace prostředí, exfiltrace dat a dopadů na cloudovou infrastrukturu. Na základě kombinace analytických zdrojů (ENISA, CISA, NIST) a empirických poznatků z praxe incident response popisujeme mechanismy laterálního pohybu, eskalace oprávnění a zneužívání identit v moderních kampaních typu Ransomware-as-a-Service. Ukazujeme, že většina útoků sleduje konzistentní vzorec: získání přístupu, kompromitaci Active Directory, exfiltraci dat a následné šifrování koordinované z centrálního C&C serveru. Diskutujeme obranné strategie s důrazem na řízení identit, segmentaci, obnovitelnost a připravenost organizací. Studie zdůrazňuje nutnost přechodu od reaktivní k proaktivní ochraně a vyvažuje technické i organizační aspekty kybernetické odolnosti.

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Štítky: ransomware