Více než polovina maloobchodníků napadených ransomwarem platí výkupné

 Sophos zveřejnil svoji pátou výroční studii Sophos State of Ransomware in Retail. Jedná se o nezávislý průzkum mezi manažery IT a kybernetické bezpečnosti v 16 zemích. Letošní studie odhaluje, že téměř polovina (46 %) ransomwarových incidentů v maloobchodě byla způsobena neznámou bezpečnostní mezerou. To potvrzuje přetrvávající problémy s přehledem o prostoru pro útoky v sektoru maloobchodu. Z organizací, kterým byla zašifrována data, 58 % zaplatilo výkupné, aby svá data získalo zpět. Jedná se o druhou nejvyšší míru plateb výkupného za posledních pět let. 

Hlavní zjištění studie

• 46 % útoků začalo zneužitím neznámé bezpečnostní mezery (hlavní operační faktor)
• 30 % útoků využilo známé zranitelnosti (hlavní technická příčina, třetí rok po sobě)
• 58 % obětí se zašifrovanými daty zaplatilo; 48 % útoků vedlo k zašifrování dat (nejnižší hodnota za posledních 5 let)
• Medián požadovaného výkupného se od roku 2024 zdvojnásobil na 2 miliony amerických dolarů; průměrná platba se zvýšila o 5 % na 1 milion dolarů

Přehled bezpečnostní situace v maloobchodě

V uplynulém roce tým bezpečnostních expertů Sophos X-Ops zaznamenal téměř 90 různých kyberzločineckých skupin, které se zaměřily na jednoho nebo více maloobchodníků prostřednictvím ransomwaru nebo vydírání s hrozbou zveřejnění odcizených dat. Nejaktivnějšími skupinami, které Sophos sledoval v rámci reakcí na incidenty a případů řešených službou MDR (Managed Detection and Response), jsou Akira, Cl0p, Qilin, PLAY a Lynx. Po ransomwaru bylo druhým nejčastějším typem incidentů u maloobchodníků kompromitování účtů. A stejně jako mnoho jiných odvětví je i maloobchod trvalým terčem skupin zabývajících se kompromitací firemních e-mailů (BEC, business email compromise), které se snaží odklonit platby ve svůj prospěch, což je zde třetí nejčastější typ incidentu.

„Maloobchodníci po celém světě čelí složitější kyberbezpečnostní situaci, protože protivníci neustále hledají a využívají existující zranitelnosti, nejčastěji v podobě zneužití vzdáleného přístupu a síťových zařízení připojených k internetu. Právě teď, kdy požadavky na výkupné dosahují nových maximálních hodnot, je potřeba zavést komplexní bezpečnostní strategie ještě naléhavější. Bez toho maloobchodníci riskují narušení svého provozu a trvalé poškození reputace, jejíž náprava může trvat roky. Povzbudivé je, že si to mnozí začínají uvědomovat a reagují investicemi do kybernetické obrany, která jim nejen umožňuje zastavit útoky dříve, než eskalují, ale také se rychleji zotavit,“ říká Chester Wisniewski, ředitel a CISO společnosti Sophos.

Po aktivních hrozbách je druhým nejčastějším provozním faktorem ohrožujícím bezpečnost maloobchodníků nízká odbornost jejich interních týmů (45 %), následovaná mezerami v ochraně (44 %). Bez správných dovedností a odpovídající ochrany mají maloobchodníci potíže s detekcí a neutralizací útoků.

Vedle těchto výzev se ale objevují i známky pokroku. Podíl útoků zastavených před zašifrováním dat dosáhl pětiletého maxima, což naznačuje, že maloobchodní organizace zlepšují svou schopnost útoky rychle detekovat a neutralizovat. Míra zašifrování dat je na nejnižší úrovni za posledních 5 let – k zašifrování dat nyní vede pouze 48 % útoků. 

Přestože průměrná výše výkupného v maloobchodě vzrostla o 5 % (z 950 000 amerických dolarů v roce 2024 na 1 milion v roce 2025), je průměrná platba stále poloviční oproti průměrné výši požadovaného výkupného. To naznačuje, že maloobchodní organizace jsou stále odolnější vůči přehnaným požadavkům na výkupné a potenciálně vyhledávají odbornou pomoc, jak se s ransomwarovými útoky vypořádat. 

„Nakonec platí, že úspěšné bezpečnostní programy jsou zaměřené na řízení rizik. Aby mohli tato rizika posoudit a řídit, musí mít maloobchodníci přehled o hrozbách, kterým čelí, stejně jako o svých aktivech a celkové bezpečnostní situaci. Organizace, které kombinují kvalitní správu aktiv a pravidelné softwarové opravy se službami řízené detekce a reakce (MDR) a službami řízení rizik, dokážou lépe předcházet incidentům a rychleji se zotavit. Jde o proaktivní přístup k posilování jejich kybernetické obrany,“ upozorňuje Chester Wisniewski. 

Další zjištění studie State of Ransomware in Retail 2025:

• Podíl zašifrování dat klesá, ale útočníci se přizpůsobují: Přestože je míra zašifrování dat na nejnižší úrovni za posledních 5 let, útočníci se přizpůsobují, protože podíl maloobchodníků zasažených útoky zaměřenými pouze na vydírání se ztrojnásobil – ze 2 % v roce 2023 na 6 % v roce 2025.
• Míra využití zálohování klesá: 62 % maloobchodníků, kteří zažili útoky, obnovilo svá data pomocí záloh – to je nejnižší podíl za poslední 4 roky. 
• Maloobchodníci odolávají požadavkům na výkupné: Při detailnějším pohledu na požadavky a platby vyplývá, že pouze 29 % maloobchodníků zaplatilo částku shodnou s původním požadavkem útočníků. Celkem 59 % zaplatilo méně, než útočníci požadovali, a 11 % naopak zaplatilo více.
• Náklady na obnovu klesají: Povzbudivé je, že průměrné náklady na obnovu po ransomwarovém útoku, bez započítání výkupného, klesly za poslední rok o 40 % na 1,65 milionu amerických dolarů. To je nejnižší hodnota za poslední tři roky.
• Ransomwarové útoky měly přímý dopad na týmy: Téměř polovina (47 %) týmů IT a/nebo kyberbezpečnosti ze sektoru maloobchodních firem zaznamenala po zašifrování dat zvýšený tlak, zatímco ve čtvrtině případů (26 %) došlo v důsledku toho k výměně vedoucích týmů.

Posílení obrany v dlouhodobém horizontu

Na základě zkušeností s ochranou maloobchodních organizací po celém světě doporučují bezpečnostní experti společnosti Sophos následující osvědčené postupy, které pomáhají podnikům udržet si náskok před ransomwarem a dalšími kybernetickými hrozbami: 

Nepřetržitě monitorovat: Nepřetržitý přehled má zásadní význam. Organizace bez interních zdrojů mohou posílit svou odolnost tím, že uzavřou partnerství s důvěryhodným poskytovatelem služeb řízené detekce a reakce(MDR), který zajistí nepřetržité monitorování hrozeb a odbornou reakci.

Odstranit základní příčiny: Je třeba přijmout proaktivní opatření k řešení běžných technických a provozních slabin – k těm mimo jiné patří zneužívání zranitelností, na které se útočníci často zaměřují. Řešení jako Sophos Managed Risk mohou organizacím pomoci posoudit míru jejich zranitelnosti a snížit riziko v jejich prostředích.

Chránit všechny koncové body: Je třeba zajistit, aby všechny koncové body, včetně serverů, byly chráněny speciálními mechanismy proti ransomwaru, které zabrání útokům v získání opory uvnitř prostředí.

Plánovat a připravit se: Je třeba vytvořit a pravidelně testovat komplexní plán reakce na incidenty, udržovat spolehlivé zálohy a pravidelně provádět obnovu dat, aby bylo možné v případě útoku minimalizovat dobu odstávky.

Zdroj: Sophos