Společnost Sophos ve své studii State of Ransomware in Manufacturing and Production 2025 odhaluje, že se výrobním podnikům daří zastavit více ransomwarových útoků dříve, než dojde k zašifrování dat. Útočníci však stále častěji data odcizí a poté vydírají firmy hrozbou jejich zveřejnění, aby zvýšili tlak na zaplacení výkupného.
Co se dozvíte v článku
Výsledkem je, že více než polovina výrobních podniků postižených zašifrováním dat zaplatila výkupné, navzdory pokroku v obranných opatřeních. Studie je založena na nezávislém průzkumu u 332 výrobních podniků, které byly v uplynulém roce zasaženy ransomwarem.
Z průzkumu vyplynulo, že míra zašifrování dat klesá, ale útočníci mění taktiku. Celkem 40 % útoků na výrobní podniky vedlo k zašifrování dat, což je nejnižší úroveň za posledních pět let a pokles ze 74 % v loňském roce. Útoky zaměřené výhradně na vydírání však vzrostly z pouhých 3 % v roce 2024 na 10 %, protože útočníci stále více spoléhají na odcizená data jako na prostředek k vydírání.
K zašifrování dat často ani nedojde
Zásadním problémem zůstává odcizení dat. Dvě z deseti výrobních firem, ve kterých došlo k zašifrování dat, zaznamenalo také jejich odcizení, což je jeden z nejvyšších podílů ze všech zkoumaných odvětví.
Dobrou zprávou podle Sophosu ovšem je, že stále více organizací zastavuje útoky ještě před zašifrováním dat. Celá polovina výrobních podniků zastavila útok předtím, než mohlo dojít k zašifrování dat. To je více než dvojnásobek oproti loňským 24 %.
Z průzkumu dále vyplynulo, že útoky podporuje nedostatek odborných znalostí a slabá ochrana. Nedostatek odborných znalostí uvedlo 42,5 % organizací. Neznámé bezpečnostní mezery uvedlo 41,6 % a nedostatečnou ochranu 41 %. Respondenti identifikovali v průměru tři interní faktory, které přispěly k útoku.
Náklady na obnovu citelně klesly
Sophos také zjistil, že více než polovina výrobních podniků se zašifrovanými daty zaplatila výkupné. Více než polovina (51 %) postižených organizací zaplatila výkupné. Medián zaplaceného výkupného činil 1 milion dolarů, zatímco medián požadované částky byl 1,2 milionu dolarů.
Co se ale zlepšuje jsou náklady a lhůty na obnovu. Průměrné náklady na obnovu po ransomwarovém útoku, bez zaplacení výkupného, klesly o 24 % na 1,3 milionu dolarů. Do jednoho týdne se plně zotavilo 58 % výrobních podniků, což je nárůst oproti 44 % v loňském roce.
Faktem ovšem zůstává, že ransomwarové incidenty mají silný dopad na bezpečnostní a IT týmy. Celkem 47 % výrobních podniků zaznamenalo zvýšený stres týmu po zašifrování dat. Kromě toho 44 % zaznamenalo zvýšený tlak ze strany managementu a ve 27 % došlo v důsledku útoku ke změně vedení.
99 problémů, tedy útočných skupin
Výrobní odvětví podle Alexandry Rose, ředitelky pro výzkum hrozeb v Sophos Counter Threat Unit, závisí na propojených systémech, kde mohou i krátké výpadky zastavit výrobu a mít dopad na celé dodavatelské řetězce. Útočníci tento tlak využívají, takže i přes pokles míry zašifrování dat na 40 % dosáhl medián výkupného 1 milion dolarů.
„Přestože polovina výrobců zastavila útoky před zašifrováním dat, náklady na obnovu dosáhly v průměru 1,3 milionu dolarů a vedení zůstává ve značném stresu. Pro snížení provozního dopadu i finančního rizika je nezbytná vícevrstvá obrana, nepřetržitý přehled a dobře nacvičené plány reakce,“ zdůrazňuje.
Během posledních dvanácti měsíců sledoval tým bezpečnostních expertů Sophos X-Ops aktivity ransomwarových skupin na stránkách pro zveřejňování odcizených dat a zjistil, že se na výrobní podniky zaměřilo 99 různých skupin útočníků.
Na základě těchto pozorování jsou podle Sophosu nejvýznamnějšími skupinami GOLD SAHARA (Akira), GOLD FEATHER (Qilin) a GOLD ENCORE (PLAY). Ve více než polovině ransomwarových incidentů, k jejichž následnému řešení byla přizvána bezpečnostní služba Sophos Emergency Incident Response, útočníci odcizili a zašifrovali data. Ukazuje to na použití taktiky dvojitého vydírání, kdy útočníci zadržená data využívají jako nátlakový prostředek a vyhrožují jejich zveřejněním.
Zdroj: Sophos