Jak funguje vydírání daty – a proč nahradilo ransomware
Útoky vydíráním daty zcela obcházejí šifrování, kradou citlivé soubory a hrozí jejich zveřejněním, pokud oběti nezaplatí. S jedenáctinásobným nárůstem incidentů tato taktika rychle překonává tradiční ransomware.
Nová hrozba v kyberprostoru
Ransomware po léta dominoval kybernetické kriminalitě: útočníci zašifrovali soubory oběti a poté požadovali platbu za dešifrovací klíč. Nyní jej ale překonala tišší a efektivnější taktika. Při vydírání daty zločinci zcela obcházejí šifrování. Ukradnou citlivé soubory – obchodní tajemství, záznamy o zaměstnancích, zákaznické databáze, interní e-maily – a hrozí jejich zveřejněním nebo prodejem, pokud oběť nezaplatí.
Posun je dramatický. Podle Zprávy o hrozbách Arctic Wolf za rok 2025 incidenty vydírání daty vzrostly meziročně jedenáctinásobně, z 2 % na 22 % všech zásahů v reakci na incidenty. Skupiny jako ShinyHunters, Silent Ransom a nově vytvořená PEAR se nyní zaměřují výhradně na krádež dat, nikoli na zamykání systémů.
Jak útok probíhá
Typický útok vydíráním daty se řídí rozpoznatelným vzorem. Nejprve útočníci získají počáteční přístup – často prostřednictvím sociálního inženýrství. ShinyHunters je například známý hlasovými phishingovými kampaněmi, ve kterých se operátoři vydávají za pracovníky IT podpory a lstí přimějí zaměstnance, aby udělili přístup k platformám jednotného přihlašování, jako je Okta nebo Salesforce.
Jakmile jsou uvnitř, útočníci se laterálně pohybují v cloudových prostředích a zaměřují se na inženýrské účty s vysokými oprávněními, repozitáře Git, CI/CD pipeline a cloudové úložné prostory. Potichu exfiltrují stovky gigabytů dat – e-maily, smlouvy, přihlašovací údaje, výpisy z databází – dříve, než oběť vůbec zjistí narušení.
Poté přichází zpráva s výhrůžkou. Oběti obdrží požadavek specifikující ukradená data, výši výkupného (často přesahující 1 milion dolarů pro velké organizace), adresu kryptoměnové peněženky a lhůtu – obvykle 72 hodin. Pokud oběť odmítne, útočníci zveřejní data na dark-webových stránkách pro úniky nebo je prodají konkurentům a dalším zločincům.
Proč to útočníci preferují před ransomwarem
Odklon od ransomwaru založeného na šifrování je poháněn chladnou ekonomikou. Šifrování celé sítě vyžaduje nasazení složitého malwaru, údržbu dešifrovací infrastruktury a riskování detekce nástroji pro zabezpečení koncových bodů. Exfiltrace dat je naopak rychlejší, levnější a obtížněji zastavitelná.
Organizace se také zlepšily v zotavování se z útoků šifrováním. Robustní strategie zálohování a plány reakce na incidenty znamenají, že mnoho obětí může obnovit systémy bez placení. Ukradená data však nelze „odkrást“. Jakmile jsou záznamy o zákaznících nebo obchodní tajemství v rukou útočníka, žádná záloha nemůže napravit škodu. Jak poznamenává výzkum společnosti BlackFog, díky tomu je páka mnohem trvalejší.
Čísla tento trend potvrzují. Společnost VikingCloud uvádí, že ransomware byl přítomen ve 44 % narušení v roce 2025, což je nárůst z 32 %, ale rostoucí podíl těchto incidentů zahrnoval vydírání bez šifrování – zdvojnásobení z 3 % na 6 % za jediný rok.
Kdo je v ohrožení
Cíle vydírání daty zahrnují všechna odvětví. Zdravotnické organizace čelí odhalení záznamů o pacientech. Finanční firmy riskují únik transakčních dat. Technologické společnosti mohou ztratit proprietární zdrojový kód. Dokonce i vládní instituce jsou zranitelné – Evropská komise v březnu 2026 potvrdila, že ShinyHunters exfiltroval více než 350 GB dat z její cloudové infrastruktury Europa.eu, včetně archivů e-mailů a interních přihlašovacích údajů.
Malé a střední podniky jsou obzvláště ohroženy. Často jim chybí specializované bezpečnostní týmy, což z nich činí měkčí cíle s menším množstvím zdrojů pro včasné odhalení narušení.
Jak se organizace brání
Protože vydírání daty obchází tradiční obranu proti ransomwaru, ochrana vyžaduje odlišné myšlení. CISA doporučuje několik základních strategií:
- Architektura nulové důvěry (Zero-trust architecture) – ve výchozím nastavení předpokládejte, že žádný uživatel ani zařízení není důvěryhodné, a vynucujte přístup s nejnižšími oprávněními ve všech systémech.
- Prevence ztráty dat (Data loss prevention, DLP) – nasaďte inline nástroje, které monitorují a blokují neobvyklé přenosy dat předtím, než dojde k exfiltraci.
- Segmentace sítě – omezte laterální pohyb, aby jeden kompromitovaný účet nemohl dosáhnout na celou datovou oblast.
- Školení zaměstnanců – protože sociální inženýrství zůstává hlavním vstupním bodem, jsou pravidelné programy zvyšování povědomí o phishingu zásadní.
- Plánování reakce na incidenty – udržujte a nacvičujte příručku reakce, která se konkrétně zabývá scénáři krádeže dat, nejen šifrováním.
Širší souvislosti
Vydírání daty představuje zásadní vývoj v kybernetické kriminalitě. Využívá jedinou věc, kterou organizace nemohou zvrátit: odhalení informací. S tím, jak se zrychluje přijímání cloudu a společnosti ukládají stále více citlivých dat online, roste plocha útoku. Bezpečnostní experti varují, že dokud organizace nebudou brát krádež dat stejně vážně jako zamykání systémů, skupiny vyděračů budou nadále prosperovat.
