Ransomware už necílí jen na data. Útočníci jdou stále častěji i po zálohách

Zálohy dlouho platily za poslední záchrannou brzdu při ransomware útoku. Pokud útočníci zašifrují servery a pracovní stanice, organizace se může vrátit k poslední čisté kopii dat. Jenže moderní ransomware útoky stále častěji počítají i s tímto scénářem — a proto se útočníci snaží zálohy najít, poškodit nebo smazat ještě před samotným spuštěním šifrování.

Na tento trend upozornil 6. května 2026 server BleepingComputer v textu Why ransomware attacks succeed even when backups exist, který vznikl ve spolupráci se společností Acronis. Nejde tedy o nezávislou technickou analýzu jednoho incidentu, ale o komerční text výrobce bezpečnostního a zálohovacího řešení. Popisované techniky ale odpovídají širšímu trendu, který dlouhodobě řeší incident response týmy i bezpečnostní autority.

Útočníci se k zálohám často dostanou ještě před šifrováním

Podle Acronisu má řada moderních ransomware útoků předvídatelnou sekvenci: počáteční kompromitace, krádež přihlašovacích údajů, laterální pohyb v síti, vyhledání zálohovací infrastruktury, zničení nebo narušení záloh a teprve poté nasazení ransomwaru.

Pro oběť je to zásadní rozdíl. Pokud zálohy existují, ale jsou dostupné ze stejné kompromitované infrastruktury, používají stejné administrátorské účty nebo nejsou chráněné proti smazání, nemusí při incidentu reálně pomoct. Zálohovací systém se v takovém případě z poslední pojistky stává dalším cílem útoku.

Mezi typické techniky patří mazání stínových kopií i útoky na snapshoty

Text popisuje několik způsobů, jak mohou útočníci zálohy narušit. Patří mezi ně například mazání Windows Volume Shadow Copies (VSS), používání legitimních administračních nástrojů v rámci technik známých jako living-off-the-land, cílení na snapshoty hypervizorů ve virtualizovaných prostředích nebo zneužití API přístupů ke cloudovým úložištím záloh.

To není jen teoretický scénář. Bezpečnostní reporty dlouhodobě popisují, že ransomware operátoři před samotným šifrováním často vypínají bezpečnostní nástroje, mažou možnosti obnovy a snaží se omezit schopnost organizace vrátit systémy do provozu. Google Threat Intelligence ve své analýze ransomware incidentů z roku 2025 navíc uvedl, že v přibližně 43 % analyzovaných případů útočníci cílili na virtualizační infrastrukturu, což je nárůst oproti 29 % v roce 2024.

Největším problémem bývá dostupnost záloh ze stejného prostředí

Acronis jako časté slabiny uvádí chybějící izolaci mezi produkční a zálohovací infrastrukturou, sdílené administrátorské účty, absenci vícefaktorového ověřování, příliš široká oprávnění služebních účtů, netestované procesy obnovy a oddělené nástroje pro bezpečnost a zálohování.

Jinými slovy: samotná existence zálohy nestačí. Důležité je, kdo se k ní může dostat, zda ji lze zpětně změnit nebo smazat, zda je oddělená od napadeného prostředí a zda organizace pravidelně ověřuje, že z ní opravdu dokáže obnovit provoz.

Neměnné zálohy snižují riziko, že útočník smaže poslední čistou kopii

Důležitou roli v obraně hrají neměnné zálohy — tedy zálohy, které po určitou dobu nelze upravit ani odstranit. Acronis v této souvislosti zmiňuje například úložiště typu WORM (Write Once, Read Many), časově uzamčené retenční politiky, ochranu proti zneužití API a vynucení ochrany přímo na úrovni úložiště.

Podobný princip doporučují i bezpečnostní autority. CISA ve svých doporučeních k ransomwaru dlouhodobě zdůrazňuje potřebu pravidelných záloh, jejich offline uložení a testování obnovy. Smyslem je zabránit situaci, kdy útočník po kompromitaci administrátorského účtu získá možnost odstranit i poslední použitelnou kopii dat.

Acronis hlásí 50% růst ransomware útoků, údaj je ale potřeba číst jako vendor data

Acronis ve svém Cyberthreats Reportu za druhé pololetí 2025 uvádí, že ransomware útoky meziročně vzrostly o 50 %. Zároveň tvrdí, že ve druhé polovině roku 2025 detekoval téměř 100 aktivních Ransomware-as-a-Service poskytovatelů a 34 nových skupin.

Tento údaj je vhodné brát jako data konkrétního výrobce, nikoli jako univerzální statistiku celého trhu. Přesto zapadá do širšího obrazu, podle kterého ransomware zůstává jednou z nejvýznamnějších hrozeb pro organizace a útočníci stále častěji kombinují šifrování, krádež dat, tlak na oběť a snahu zničit možnosti obnovy.

Zálohování musí být součástí bezpečnostní strategie, ne jen IT rutina

Hlavní pointa článku je jednoduchá: zálohy nejsou jen technický provozní detail, ale součást obrany proti kybernetickému útoku. Pokud nejsou chráněné stejně důsledně jako produkční systémy, mohou selhat právě ve chvíli, kdy jsou nejvíce potřeba.

Organizace by proto měly řešit nejen to, zda zálohy existují, ale také zda jsou oddělené od běžné infrastruktury, chráněné samostatnými účty a MFA, pravidelně testované, monitorované a alespoň část z nich je neměnná nebo offline.

Článek BleepingComputer nepopisuje konkrétní útok, oběti ani konkrétní CVE. Jeho hodnota je spíše v připomenutí trendu, který je pro praxi velmi důležitý: u ransomware incidentu už nestačí ptát se, zda firma zálohuje. Klíčová otázka zní, zda tyto zálohy přežijí i samotný útok.