Výrobní průmysl stále více pokusů o ransomware zablokuje, útočníci se zaměřují na odcizení dat

Výrobní sektor zaznamenal 40% míru zašifrování dat, což svědčí o vyšší schopnosti včasné detekce; útočníci eskalovali krádeže dat a vydírání, aby si udrželi vliv

Praha, 15. prosince 2025 – Sophos, přední světový inovátor v oblasti pokročilých bezpečnostních řešení, která zabraňují kybernetickým útokům, zveřejnil novou studii Sophos State of Ransomware in Manufacturing and Production 2025. Odhaluje, že se výrobním podnikům daří zastavit více ransomwarových útoků dříve, než dojde k zašifrování dat. Útočníci však stále častěji data odcizí a poté vydírají firmy hrozbou jejich zveřejnění, aby zvýšili tlak na zaplacení výkupného. Výsledkem je, že více než polovina výrobních podniků postižených zašifrováním dat zaplatila výkupné, navzdory pokroku v obranných opatřeních. Studie je založena na nezávislém průzkumu u 332 výrobních podniků, které byly v uplynulém roce zasaženy ransomwarem.

Hlavní zjištění studie Sophos State of Ransomware in Manufacturing and Production:

• Míra zašifrování dat klesá, ale útočníci mění taktiku: 40 % útoků na výrobní podniky vedlo k zašifrování dat, což je nejnižší úroveň za posledních pět let a pokles ze 74 % v loňském roce. Útoky zaměřené výhradně na vydírání však vzrostly z pouhých 3 % v roce 2024 na 10 %, protože útočníci stále více spoléhají na odcizená data jako na prostředek k vydírání.
• Odcizení dat zůstává významným problémem: 39 % výrobních firem, ve kterých došlo k zašifrování dat, zaznamenalo také jejich odcizení, což je jeden z nejvyšších podílů ze všech zkoumaných odvětví.
• Stále více organizací zastavuje útoky před zašifrováním dat: 50 % výrobních podniků zastavilo útok předtím, než mohlo dojít k zašifrování dat. To je více než dvojnásobek oproti loňským 24 %.
• Nedostatek odborných znalostí a slabá ochrana podporují útoky: Nedostatek odborných znalostí uvedlo 42,5 % organizací. Neznámé bezpečnostní mezery uvedlo 41,6 % a nedostatečnou ochranu 41 %. Respondenti identifikovali v průměru tři interní faktory, které přispěly k útoku.
• Více než polovina výrobních podniků se zašifrovanými daty zaplatila výkupné: 51 % postižených organizací zaplatilo výkupné. Medián zaplaceného výkupného činil 1 milion dolarů, zatímco medián požadované částky byl 1,2 milionu dolarů.
• Náklady a lhůty na obnovu se zlepšují: Průměrné náklady na obnovu po ransomwarovém útoku, bez zaplacení výkupného, klesly o 24 % na 1,3 milionu dolarů. Do jednoho týdne se plně zotavilo 58 % výrobních podniků, což je nárůst oproti 44 % v loňském roce.
• Ransomwarové incidenty mají silný dopad na bezpečnostní a IT týmy: 47 % výrobních podniků zaznamenalo zvýšený stres týmu po zašifrování dat. Kromě toho 44 % zaznamenalo zvýšený tlak ze strany managementu a ve 27 % došlo v důsledku útoku ke změně vedení.

„Výrobní odvětví závisí na propojených systémech, kde mohou i krátké výpadky zastavit výrobu a mít dopad na celé dodavatelské řetězce. Útočníci tento tlak využívají, takže i přes pokles míry zašifrování dat na 40 % dosáhl medián výkupného 1 milion dolarů. Přestože polovina výrobců zastavila útoky před zašifrováním dat, náklady na obnovu dosáhly v průměru 1,3 milionu dolarů a vedení zůstává ve značném stresu. Pro snížení provozního dopadu i finančního rizika je nezbytná vícevrstvá obrana, nepřetržitý přehled a dobře nacvičené plány reakce,“ uvedla Alexandra Rose, ředitelka pro výzkum hrozeb v Sophos Counter Threat Unit.

Kyberbezpečnostní situace ve výrobním odvětví  

Během posledních dvanácti měsíců sledoval tým bezpečnostních expertů Sophos X-Ops aktivity ransomwarových skupin na stránkách pro zveřejňování odcizených dat a zjistil, že se na výrobní podniky zaměřilo 99 různých skupin útočníků. Na základě těchto pozorování jsou nejvýznamnějšími skupinami GOLD SAHARA (Akira), GOLD FEATHER (Qilin) a GOLD ENCORE (PLAY). V souladu s trendy uvedenými ve studii ve více než polovině ransomwarových incidentů, k jejichž následnému řešení byla přizvána bezpečnostní služba Sophos Emergency Incident Response, útočníci odcizili a zašifrovali data. Ukazuje to na použití taktiky dvojitého vydírání, kdy útočníci zadržená data využívají jako nátlakový prostředek a vyhrožují jejich zveřejněním.

Posílení obrany v dlouhodobém horizontu

Na základě svých zkušeností s ochranou výrobních podniků po celém světě doporučují bezpečnostní experti společnosti Sophos následující osvědčené postupy, které pomáhají podnikům udržet si náskok před ransomwarem a dalšími kybernetickými hrozbami:

• Odstranit základní příčiny: Je třeba přijmout proaktivní opatření k řešení běžných technických a provozních nedostatků, jako jsou zneužívané zranitelnosti, na které se útočníci často zaměřují. Řešení jako Sophos Managed Risk mohou organizacím pomoci posoudit míru jejich zranitelnosti a snížit riziko v jejich prostředích.
• Chránit všechny koncové body: Je třeba zajistit, aby všechny koncové body, včetně serverů, byly chráněny speciálními obrannými mechanismy proti ransomwaru, které zabrání útočníkům získat oporu uvnitř prostředí.
• Plánovat a připravit se: Je třeba vytvořit a pravidelně testovat komplexní plán reakce na incidenty, udržovat spolehlivé zálohy a pravidelně provádět obnovu dat, aby bylo možné v případě útoku minimalizovat dobu odstávky.

• Nepřetržitě monitorovat: Nepřetržitý přehled má zásadní význam. Organizace bez interních zdrojů mohou posílit svou odolnost tím, že naváží spolupráci s důvěryhodným poskytovatelem služeb řízené detekce a reakce (MDR), který zajistí nepřetržité monitorování hrozeb a odbornou reakci.