Mobilní menu - UPdate IT

90 % ransomwarových útoků zneužívá firewally

Nová data ukazují, jak útočníci pronikají do sítí a proč organizace často reagují příliš pozdě

Ransomware patří dlouhodobě mezi nejzávažnější kybernetické hrozby pro firmy i veřejné instituce. Nejnovější analýza bezpečnostních incidentů z roku 2025 však ukazuje, že útočníci často využívají překvapivě „jednoduché“ vstupní body – zejména nedostatečně zabezpečené firewally a neopravené zranitelnosti.

Zpráva společnosti Barracuda vychází z rozsáhlé analýzy bezpečnostních událostí a incidentů z reálného provozu. Ukazuje, že většina ransomwarových útoků nezačíná sofistikovaným malwarem, ale zneužitím běžných IT nástrojů, slabých účtů nebo zastaralého softwaru.

Firewally jako hlavní vstupní bod útočníků

Podle analýzy bylo 90 % ransomwarových incidentů spojeno se zneužitím firewallu. Nejčastěji šlo o:

  • neopravené softwarové zranitelnosti (CVE),

  • kompromitované nebo špatně zabezpečené účty,

  • nedostatečně monitorovaný vzdálený přístup.

Jakmile útočník získá kontrolu nad firewallovou infrastrukturou nebo přístupovým účtem, může relativně snadno obejít síťovou ochranu, skrýt škodlivou komunikaci a získat kontrolu nad dalšími systémy v síti.

Útok může eskalovat během několika hodin

Rychlost moderních útoků je jedním z největších problémů současné kybernetické bezpečnosti. Nejrychlejší zaznamenaný případ v analyzovaných datech ukázal, že od prvního průniku do sítě po zašifrování dat uplynuly pouhé tři hodiny.

Takto krátké časové okno výrazně omezuje možnosti obrany – pokud organizace nemá dostatečnou viditelnost do sítě a automatizovanou detekci hrozeb, může útok proběhnout prakticky bez povšimnutí.

Zastaralé zranitelnosti stále představují reálné riziko

Zajímavým zjištěním je, že velká část zneužívaných zranitelností není nová.

  • 10 % detekovaných zranitelností má veřejně dostupný exploit, který mohou útočníci snadno využít.

  • Nejčastěji detekovaná zranitelnost pochází dokonce z roku 2013.

Konkrétně jde o chybu v zastaralém šifrovacím algoritmu, která se stále objevuje ve starších serverech, embedded zařízeních nebo v dlouhodobě neaktualizovaných aplikacích. Tyto „zapomenuté“ systémy představují pro útočníky ideální vstupní bod.

Lateral movement: klíčový signál probíhajícího útoku

Jedním z nejdůležitějších indikátorů ransomwarového útoku je tzv. laterální pohyb v síti – tedy situace, kdy útočník po získání prvotního přístupu začíná pronikat do dalších systémů.

Analýza ukázala, že:

  • 96 % incidentů s laterálním pohybem skončilo nasazením ransomwaru.

Jakmile se útočník začne šířit mezi zařízeními, jde obvykle o jasný signál, že se útok blíží k finální fázi.

Rostoucí riziko v dodavatelském řetězci

Výrazně roste také podíl útoků, které využívají slabiny v dodavatelském řetězci nebo v softwaru třetích stran.

  • 66 % incidentů souviselo s třetí stranou nebo dodavatelským řetězcem, zatímco o rok dříve to bylo 45 %.

Útočníci tak stále častěji využívají kompromitované nástroje, aplikace nebo služby, aby se dostali k širšímu okruhu organizací najednou.

Proč jsou organizace zranitelné

Mnoho incidentů nevzniká kvůli jedné zásadní chybě, ale kvůli kombinaci drobných přehlédnutí, například:

  • neaktivní nebo zapomenutý uživatelský účet

  • nezaaktualizovaná aplikace nebo zařízení

  • špatně nastavené bezpečnostní politiky

  • vypnutá ochrana koncových zařízení

  • nechráněný endpoint v síti

Stačí jediný takový slabý bod – útočníci ho dokážou rychle najít a využít.

Co z toho vyplývá pro firmy

Moderní ransomwarové útoky jsou rychlé, automatizované a často využívají legitimní nástroje a infrastrukturu. Obrana proto musí stát na kombinaci několika přístupů:

  • důsledná správa zranitelností a aktualizací

  • ochrana identit a privilegovaných účtů

  • monitoring síťového provozu a chování uživatelů

  • detekce laterálního pohybu v síti

  • centralizovaná bezpečnostní viditelnost napříč on-premise i cloudovým prostředím

Organizace zároveň stále častěji využívají služby řízené detekce a reakce na incidenty (XDR/MDR), které pomáhají bezpečnostním týmům reagovat na útoky v reálném čase.

Data z rozsáhlé bezpečnostní analýzy

Závěry vycházejí z rozsáhlého souboru dat zahrnujícího:

  • více než 2 biliony IT událostí zaznamenaných během roku 2025

  • téměř 600 000 bezpečnostních alertů

  • více než 300 000 chráněných zařízení, včetně endpointů, firewallů, serverů a cloudových prostředků

Tato data poskytují realistický pohled na to, jak moderní útoky probíhají a kde mají organizace největší bezpečnostní mezery.

Scenario s.r.o.