Ransomwarová scéna ve světě a Česku za rok 2025

Podle očekávání bezpečnostních expertů ESETu vloni opět meziročně vzrostl počet zveřejněných útoků ransomwarem - globálně o 50 % ve srovnání s rokem 2024. Také v České republice sledovali pozvolný nárůst počtu případů. Nevyhnuly se nám přitom ani aktuálně dominantní ransomwarový gang Qilin či zcela nová hrozba - ransomware Warlock. Pro rok 2026 tak očekávají další růst počtu obětí těchto gangů i pokračující využívání nástrojů určených k vypínání obranných technologií.

"S ohlédnutím na rok 2025 vidíme, že globálně zveřejněné případy útoků ransomwarem meziročně vzrostly o 50 %. V mnoha zemích světa bylo již koncem srpna zaznamenáno více útoků než za celý rok 2024. V Česku jsme tento rok sledovali zhruba jeden velký ransomwarový útok měsíčně. Ransomware známe primárně jako hrozbu zacílenou na střední a velké firmy, na které se útočníci přirozeně zaměřují s očekáváním vyšších zisků z výkupného. V našem prostředí tak nejčastěji cílí na fintech oblast, ale i na kritickou infrastrukturu, jako je například doprava a státní správa. Stejně tak mohou být přitom v ohrožení i data běžných koncových uživatelů. Domácí sítě totiž zpravidla vykazují výrazně menší úroveň zabezpečení a ransomware tak může být spuštěn plně automaticky a s menší náročností pro útočníky," říká Jakub Souček, vedoucí výzkumného týmu v pražské pobočce společnosti ESET.

Podle nejnovější zprávy ESET Threat Report H2 2025, která mapuje globální vývoj kybernetických hrozeb za období od června do listopadu 2025, dominují aktuálně na trhu ransomware-as-a-service skupiny Akira a Qilin. Ransomware-as-a-service je model fungování útočníků v ekosystému operátorů (autorů) ransomwaru, partnerů, kteří si škodlivý kód pronajímají a útočí na vybrané cíle, a tzv. infiltrátorů, kteří zajistí partnerům přístup k lukrativním cílům.

Bezpečnostní experti však upozorňují i na novou, uzavřenou ransomwarovou skupinu Warlock. Útočníci z této skupiny využívají inovativní techniky obcházení detekce škodlivého kódu. Ve druhé poloviněroku 2025 se dále rozšiřovaly také nástroje pro vypnutí bezpečnostních technologií, jako je EDR(detekce a reakce na hrozby pro koncová zařízení).

V případě poměrně nového ransomwaru Warlock bezpečnostní expertiESETu zaznamenali několik obětí i v Česku. Jde přitom o inovativní hrozbu s pokročilými technikami, postupy a nástroji.

Nejvíce se však na nás v loňském roce zaměřoval ransomwarový gang Qilin,který aktuálně také dominuje globální ransomwarové scéně a na kontě má jen za poslední kvartál roku 2025 celosvětově více než 500 obětí.

Takových čísel přitom nedosahoval ani nechvalně proslulý ransomwarový gang LockBit, který byl dominantním hráčem před mezinárodní operací Cronos, která tento gang pomohla rozbít.

Ransomware v roce 2026

Pro následující rok očekávají bezpečnostní experti pokračující nárůst počtu útoků a vývoj nových nástrojů. Zatímco mediální pozornost přitahují např. útoky typu Zero day, většina incidentů bude v roce 2026 stále spoléhat na tradiční zranitelnosti, jako jsou slabá hesla nebo neaktualizované systémy. Kromě celkové statistiky je pak třeba sledovat inovativní techniky nových hráčů, jako je právě zmiňovaný Warlock.

Významným trendem, který s námi zůstane i v roce 2026, je rostoucí popularita takzvaných EDR killers - nástrojů určených k vypnutí bezpečnostních řešení pro detekci a reakci na koncových zařízeních uživatelů. To potvrzuje, že kvalitní ochrana je pro útočníky překážkou, kterou se snaží aktivněeliminovat.

Další podrobnosti o globálním vývoji kybernetických hrozeb jsou k dispozici v aktuálním vydání ESET Threat Report H2 2025.