Kybernetické útoky dnes zdaleka nekončí zašifrováním produkčních dat. Moderní ransomwarové skupiny se zaměřují i na zálohy, aby oběť ztratila poslední možnost obnovy a musela zaplatit výkupné. Podívejme se, jak tyto útoky probíhají, proč tradiční zálohy nestačí a co můžete udělat, aby vaše data skutečně zůstala v bezpečí.
Proč útočníci míří právě na zálohy
Útočník ví, že pokud máte spolehlivou zálohu, nemá na vás páku. Po prvotním průniku proto hledá cestu k backup serveru, maže snapshoty, vypíná služby a nastavuje skripty, které záložní metadata zničí těsně před spuštěním šifrování produkce.
Typické taktiky kompromitace záloh
-
Mazání stínových kopií (Shadow Copies) a vypnutí Windows Backup.
-
Získání přístupových údajů k backup serveru díky odcizeným nebo slabým heslům.
-
Přepsání snapshotů ve virtualizačním prostředí (VMware, Hyper-V).
-
Smazání nebo přepsání objektů v cloudu, pokud není zapnutá imutabilita.
Alarmující statistiky z praxe
-
96 % ransomwarových útoků cílí přímo na zálohy.
-
Ve 76 % případů se útočníkům podaří alespoň část záloh poškodit.
-
43 % dat se obětem nepodaří obnovit ani po zaplacení výkupného.
Tři kroky k odolným zálohám
1. Imutabilita a offline kopie
Nastavte zálohy v režimu WORM nebo S3 Object Lock a dodržujte pravidlo 3-2-1: tři kopie dat, dvě různá média, jedna off-site.
2. Segmentace a minimální oprávnění
Backup server držte v odděleném síťovém segmentu, přístupy chraňte vícefaktorově a každé mazací pravidlo schvalujte dvoučlennou kontrolou.
3. Pravidelné testy obnovy
Obnovujte část systému každý měsíc a úplný test obnovy minimálně jednou ročně. Ověřujte nejen to, že se záloha spustí, ale že ji skutečně dokážete vrátit do produkce.
Příklad z praxe
Menší výrobní firma v Moravskoslezském kraji prováděla denní zálohy na NAS připojený k síti. Útočník pronikl přes zranitelný VPN server, získal doménová oprávnění a během dvou týdnů tiše synchronizoval zašifrované verze zpět na NAS. Po spuštění útoku nebylo z čeho obnovit a provoz stál pět dnů. Roční provoz offline kopií v cloudu by firmu vyšel zhruba na 15 000 Kč; škody způsobené výpadkem přesáhly 450 000 Kč.
Investice do prevence se vyplatí
Zálohování je pojistkou poslední instance. V době ransomwaru ale nestačí pouze kopírovat data – je nutné přidat imutabilitu, síťovou segmentaci a pravidelné testy obnovy. Chcete zjistit, jak je na tom vaše organizace? Objednejte si náš rychlý audit zálohovacích strategií a získejte seznam konkrétních kroků ke zvýšení odolnosti do 48 hodin.
Zdroje
-
Veeam, Ransomware Trends Report 2024 – statistiky o cílení na zálohy a úspěšnosti útoků.
-
Veeam, Ransomware Trends & Proactive Strategies 2025 – data o imutabilních repozitářích.
-
NÚKIB, Ransomware: Doporučení pro mitigaci, prevenci a reakci, verze 1.2, 2023.
-
CISA, #StopRansomware: RansomHub Ransomware Advisory, 29. 8. 2024.