Marku Lanceovi zvoní telefon, když se nějaká společnost dostane do situace, kdy se její data stanou rukojmím. Pachatelé často požadují za vrácení citlivých dat výkupné. „Největší požadavek u jedné z našich obětí činil 70 milionů dolarů,“ říká Lance, ransomware vyjednávač ve společnosti Guidepoint Security se sídlem v americkém státu Virginie.
Pokud společnost nezaplatí, hrozí, že její informace budou zveřejněny. „Čím dříve se zkontaktujeme, tím lépe,“ říká Lance pro Epoch Times a dodává: „Ve většině případů… klienti už zjistili, že se stali oběťmi. Byli informováni prostřednictvím výkupného,“ dodává.
„Pomáháme lidem pochopit, že i když nemají v úmyslu zaplatit výkupné, komunikovat s kyberzločinci má smysl, protože… stále existují způsoby, jak oddálit nevyhnutelné zveřejnění jejich informací, což poskytne více času pro forenzní práci a reakci na incidenty, aby se provedla oprava jejich systémů.“
Kybernetičtí útočníci provádějí útoky na americké korporace a státní instituce každý den den, často s využitím ransomwaru. V první polovině roku 2025 došlo podle zprávy Comparitech k 208 ransomware útokům na vládní agentury po celém světě, což představuje nárůst o 65 procent ve srovnání se stejným obdobím roku 2024.
Průměrné náklady obětí ransomware útoků vzrostly v roce 2025 na odhadovaných 5,13 milionu dolarů, což je ohromný nárůst z 761 106 dolarů v roce 2019, ukazují data PurpleSec, americké kyberbezpečnostní firmy. Náklady zahrnují samotné výkupné, náklady na obnovu systémů a různé nepřímé náklady, jako je poškození pověsti.
Ransomware je typ škodlivého softwaru, který znemožňuje uživateli přístup k jeho souborům, systémům nebo sítím, přičemž útočníci požadují za opětný přístup k datům výkupné, uvádí FBI.
Lance, který pracuje v oblasti kyberbezpečnosti již 25 let, poznamenává, že když ho zavolají v počáteční fázi útoku, oběť obvykle stále ještě provádí analýzu dopadu na své podnikání. „Není si zcela jistá, co přesně se stalo, nebo co se stalo, aby věděla, jaké další kroky musí podniknout,“ říká. Pod pojmem „prostředí“ Lance chápe veškerý hardware, software a sítě, které podporují operační systémy organizace.
Dodává, že vyjednavač při ransomware útocích může nastavovat očekávání a poskytnout oběti představu o jejích možnostech. Vyjednávání podle Lanceho může pomoci získat cenný čas a umožnit oběti spolupracovat s právními poradci, aby určila, jaký typ oznámení bude muset učinit veřejnosti, akcionářům, Komisi pro cenné papíry a burzy (SEC) a dalším úřadům.
Pachatelé musí rovněž poskytnout nějaký důkaz, že mají přístup k datům oběti, a musí poskytnout mapu souborů, což je struktura adresářů vedoucí k souborům, ke kterým získali přístup. „Z těchto komunikací můžeme získat a vyvodit informace, které lze sdílet a které by jinak nebyly k dispozici. Ale ano, čím dříve [nás přizvou], tím lépe,“ říká Lance.
Lance popisuje, že v počáteční fázi se snaží zjistit, co klient od komunikace s ransomware gangem očekává, a poté se pokusí „vyvinout strategii na základě toho, co zjistí“. Počáteční strategií je podle něj jednoduše zdržování, dokud se nezjistí více o útoku a vážnosti následků. Pak se může oběť rozhodnout, zda je ochotná zaplatit výkupné. Následuje nastavení strategie podle toho, jestli je třeba jednat urgentně nebo ne a jiných priorit klienta.
Vzkazy kyberzločinců
Nejčastěji pachatelé zanechávají žádost o výkupné jako vzkaz na individuálním systému, vypráví Lance. Zpráva obvykle oběť upozorní, aby se nesnažila dotýkat žádného z IT systémů, stáhla si prohlížeč Tor, navštívila webovou stránku na darknetu a zahájila komunikaci s útočníky.
„Většinou máte stále přístup k systému, ale nemáte přístup ke všem souborům v systému, a objeví se vzkaz o výkupném, který říká: ,Byli jste zasaženi touto skupinou a tímto ransomwarem,’“ uvádí a doplňuje: „Ale viděli jsme i výjimky, kdy tisknou kopie vzkazů na místních tiskárnách v rámci firemního prostředí. Viděli jsme i případy, kdy posílají e-maily nejvyššímu vedení a výkonnému týmu z interní e-mailové adresy.“
Některé ransomware gangy dokonce volají po telefonu a říkají: „Hej, ať se nám vaše vedení a IT týmy ozvou, protože jste byli terčem ransomwarového útoku, a ještě jste se nám neozvali,“ konstatuje s tím, že útočníci při ransomwarových útocích často začínají absurdními požadavky, a obvykle probíhá proces vyjednávání.
„V drtivé většině případů není počáteční požadavek tím, kde se konečná částka výkupného zastaví. Existují určité skupiny, u kterých víme, že dokážeme získat značné snížení výkupného, od milionů dolarů až po stovky tisíc. Jsou tu i jiné skupiny, které udělají jen drobné ústupky od počátečního požadavku na výkupné,“ říká Lance.
„Pokud je dostanete na háček, kdy mají pocit, že z toho získají nějaké finanční zisky a hodnotu, většina z nich bude ochotná vyjednávat, protože oni chtějí dostat zaplaceno,“ podotýká.
Letos v červnu zveřejnila velká kyberbezpečnostní firma Sophos zprávu založenou na průzkumu IT lídrů ve 17 zemích, která uvádí, že medián výkupného byl 1 milion dolarů. Podle Lance probíhá většina transakcí s výkupným v bitcoinech a obvykle trvá dny, spíše než hodiny, než dojde k finální dohodě o výkupném. Záleží to ale také na tom, jak moc se informace o útoku dostane na veřejnost.
„Je to obchodní rozhodnutí“
Lance říká, že oběti ransomware útoků musí zohlednit mnoho faktorů, než se rozhodnou, zda zaplatí. Uvedl případ, kdy by klientovi trvalo dva týdny, než by získal přístup k záložním systémům, protože byly uloženy offline mimo firmu, a stálo by ho to 1 milion dolarů na den.
„Takže za dva týdny to bylo 14 milionů dolarů, ale mohli zaplatit výkupné 2 miliony dolarů a začít se zotavovat po čtyřech až pěti dnech. Bylo to pro ně obchodní rozhodnutí. Bylo to nákladově efektivnější,“ říká Lance.
Dodal, že někteří klienti se více obávají, že útočníci ukradnou data a zveřejní je na darknetu. „Tyto kriminální organizace stále tato data uchovávají, i když vám tvrdí, že je smažou. A viděli jsme případy, kdy zaplatí výkupné čistě za nezveřejnění dat.“
71 aktivních ransomware skupin
Nejnovější zpráva o kybernetických hrozbách od Guidepoint identifikovala 71 aktivních ransomware skupin, což je nárůst o 58 % ve srovnání se stejným obdobím loňského roku. „Máte menší, méně vyspělé, méně sofistikované skupiny, které se více zaměřují na rychlé akce a dosahování zisků na základě objemu nebo frekvence. A pak máte… lovce velkých ryb. To jsou vyspělejší skupiny, které požadují 10 milionů dolarů za každou ransomware transakci,“ líčí Lance.
Zpráva Guidepoint uvádí, že „ransomware ekosystém pokračuje v normalizaci, přestože odešly staré i nové vůdčí skupiny, včetně LockBit a AlphV v roce 2024 a nedávno RansomHub v roce 2025.“
„Na jejich místo se dostaly dlouhodobé, ale dříve ,druhořadé’ RaaS [pronajímání ransomware] skupiny, včetně Qilin, Akira a Play, které se staly největšími beneficienty díky absorpci zkušených, spolupracovníků odjinud,“ uvádí zpráva.
V loňském roce byl administrátor LockBitu Dmitry Khoroshev sankcionován Spojenými státy a několika dalšími vládami. Podle Lance se většina kybernetických zločinců nachází ve východní Evropě.
Dodává, že všechny skupiny mají affiliate systém, kde nabízejí ransomware jako službu svým partnerům, ale očekávají, že budou dodržovat určitá pravidla a pracovat podle stanovených standardů.
Říká, že ransomware skupiny jsou silně závislé na reputaci, a vědí, že pokud slíbí smazání dat po zaplacení výkupného – a ta se poté objeví na stránce s uniklými daty, ovlivní to jejich pověst a image.
„Řekněme, že někdo zaplatí Akiře, a Akira jim nedodá dešifrovací nástroje, které fungují správně, nebo jejich data z nějakého důvodu stejně zveřejní na svých stránkách. Pak získají pověst: ,Neplaťte Akiře, protože nedělají, co říkají, že udělají, i když jim zaplatíte.‘ Takže získají negativní reputaci, a najednou lidé přestanou Akiře platit a své úsilí nezpeněží,“ podotýká Lance.
– ete –
