8 Minuty
Nárůst ransomwarových útoků, zatímco výplaty výkupného klesají
Společnost zabývající se blockchainovou analytikou Chainalysis hlásí prudký 50% nárůst veřejných událostí úniků dat souvisejících s ransomwarem v roce 2025, a to i přesto, že on‑chain (na blockchainu) platby výkupného klesly. Data naznačují zásadní změnu v chování útočníků: kyberzločinci spouštějí více incidentů, ale vybírají méně prostředků v kryptoměnách. Tento posun má dopady na ekonomiku ransomware, monitorování bitcoinových toků a celkové riziko expozice subjektů držících kryptoměny.
V širším kontextu to znamená, že zatímco veřejná viditelnost extorze roste — tedy počet zveřejněných incidentů a úniků — čisté vybrané částky klesají. Proč se to děje a co z toho plyne pro firmy, poskytovatele peněženek, burzy a správce aktiv? V následujících částech rozvádíme data Chainalysis, hlavní hybné síly trhu s přístupem k obětem, vliv automatizace a umělé inteligence a důsledky pro bezpečnost v odvětví blockchainu a DeFi.
Nález Chainalysis: objem roste, výnosy klesají
Chainalysis zaznamenal téměř 8 000 veřejných událostí úniků dat v roce 2025 — to je nárůst o 50 % oproti roku 2024 — zatímco celkové platby výkupného zpracované přes blockchain klesly na přibližně 820 milionů USD, což představuje meziroční pokles o 8 %. Analytici tento rozpor připisují několika faktorům: přísnější regulačnímu prosazování, cíleným zásahům proti infrastruktuře pro praní špinavých peněz (mixery, směnárny mimo dohled) a rostoucí neochotě velkých korporací platit výkupné. Tyto síly tlačí útočníky k tomu, aby více cílili na menší organizace, kde může být výplata rychlejší, ale zároveň často nižší.
Další vysvětlení zahrnuje zlepšené schopnosti blockchainové forenziky a mezinárodní spolupráci mezi orgány činnými v trestním řízení, které postupně omezují anonymitu některých finančních toků. Když se platby dají vytrasovat, klesá motivace cílit na velké instituce, které mají silné právní týmy a vyšší šanci zapojit orgány činné v trestním řízení místo placení. Naopak malé a střední podniky (SME) často nemají připravené profesionální týmy pro incident response, což je pro útočníky atraktivní — aspoň do doby, než se ukáže, že i u menších cílů mohou být výnosy omezené.
Menší cíle, klesající výnosy
V reportu citovaní experti upozorňují na strukturální posun k malým a středně velkým podnikům. Corsin Camichel, zakladatel eCrime.ch, shrnuje trend takto: útočníci preferují objem nad jednorázovými průlomovými událostmi s vysokým dosahem, s předpokladem, že menší oběti zaplatí rychle. Přesto data Chainalysis ukazují, že celkové platby vykazují klesající trend i navzdory rekordnímu počtu veřejných požadavků na výkupné — což naznačuje, že útočníci „pracují tvrději pro klesající výnosy."
Tento jev má několik vrstev: zaprvé, rostoucí povědomí a ochota regulátorů a větších hráčů nevyjednávat s vyděrači snižuje hodnotu jednotlivých „velkých zásahů"; zadruhé, proliferace automatizovaných nástrojů a přístupových tržišť znamená vyšší konkurenci mezi kyberzločinci, což tlačí dolů ceny za přístup k systémům; zatřetí, některé pojišťovny zpřísnily podmínky krytí plateb výkupného, což snižuje hotovostní likviditu obětí, které by jinak riskovaly platbu.
Pro čtenáře sledující ekonomiku ransomware, sledování bitcoinových toků (bitcoin flow tracing) a rizikové expozice v kryptu je důležité rozlišovat mezi počtem pokusů o extorzi a efektivitou v realizaci plateb. Vyšší frekvence útoků neznamená automaticky vyšší finanční škody, zejména pokud jsou cíle malé a platby fragmentované nebo zablokované zásahy burz a analytických společností.
Hybná síla: levnější přístup, nástroje s AI a převis nabídky
Report spojil nárůst pokusů o útoky s kolapsem průměrné ceny na dark‑webu za „přístup k oběti“, která klesla z 1 427 USD na začátku roku 2023 na 439 USD v počátcích roku 2026. Tento pokles odráží zásadní proměnu trhu: příliv levných ransomware kitů, masivní nabídka logů z infostealerů (ukradené přihlašovací údaje), industrializované přístupové pipelines a nástroje asistované umělou inteligencí snížily vstupní bariéru pro kyberzločince.
Model „Ransomware‑as‑a‑Service (RaaS)" se stal komoditou: specializované skupiny nabízejí malware, infrastrukturní služby, i služby vyjednávání v prostředí, kde cena za počáteční přístup, stealth infrastrukturu a šifrovací moduly je nízká. Chainalysis varuje, že tento nadbytek levného, ale operativně omezeného inventáře zaplavuje trh a sráží ceny — což vytváří převis nabídky vůči ochotě platit obětí.
Navíc nástup AI‑asistovaných nástrojů umožnil škálovat sociální inženýrství: automatizované phishingové kampaně, personalizované lži pro obchodní partnery a generování convincing‑looking zpráv urychlují průniky. Infostealer logy prodávané na tržištích zahrnují přihlašovací údaje do VPN, RDP přístupy, vzdálené pracovní plochy a přístupové tokeny — to vše zkracuje dobu mezi nákupem přístupu a spustěním útoku.
Ekonomické důsledky jsou dvojí: krátkodobě více incidentů zvyšuje operativní náklady na obranu pro sektory jako finance, zdravotnictví a dodavatelské řetězce; dlouhodobě však tlak na pokles plateb může vést k přesunu od ransomwaru k jiným typům krádeží (např. vysoce cenná data, duševní vlastnictví) nebo k sofistikovanějším modelům zpeněžení infostruktur.
Roční ztráty z ransomwaru na blockchainu od roku 2020.
Krypto exploitace a podvody zůstávají hlavní hrozbou
I když se on‑chain platby výkupného mírně uvolnily, ztráty spojené s kryptem nadále narůstaly i v roce 2026 prostřednictvím exploitů a podvodů. Bezpečnostní firma CertiK uvedla, že pouze v lednu bylo odcizeno 370,3 milionu USD, z nichž 311,3 milionu USD připadlo na phishingové podvody. Tento poměr ukazuje, že sociální inženýrství a cílené podvodné kampaně jsou stále primárními vektory útoku na krypto aktiva.
DeFi protokoly zůstávají citlivé na chyby v chytrých kontraktech, rug‑pully, price‑oracle manipulace a flash‑loan útoky. Kombinace technických zranitelností v protokolech a nedostatečné provozní bezpečnosti uživatelů (napařené seed fráze, absence multisig, slabé správy klíčů) vytváří příležitosti pro škodlivé aktéry. To podtrhuje význam blockchainové analytiky, bezpečnostních auditů, bug bounty programů a zavádění best practices jako je hardwarová peněženka, vícefaktorová autentizace a rozdělení práv v treasury managementu.
Pro směnárny a custodians je důležitá kombinace on‑chain monitoringu (detekce podezřelých toků a clustering walletů), off‑chain due diligence (poznání zákazníka, AML/KYC) a operativních opatření (rapid freezing, spolupráce s burzami a službami pro reverzi transakcí, pokud je to možné). Vzhledem k rychlosti, s jakou se prostředky pohybují v DeFi, jsou však rutinní postupy často nedostatečné, pokud nejsou podpořeny specializovanými analytickými nástroji a 24/7 monitorem transakcí.
Co to znamená pro krypto ekosystém
Pro blockchainové firmy a bezpečnostní týmy jsou klíčová dvě sdělení: očekávejte vyšší frekvenci útoků a prioritizujte prevenci před vyjednáváním o výkupném. Investice do incident response, robustních záloh, vícevrstvé autentizace a proaktivního blockchain monitoringu mohou významně snížit expozici. Dále je důležité mít připravené playbooky pro reakci na incident, procedury pro koordinaci s orgány činnými v trestním řízení a s analytickými poskytovateli on‑chain dat.
Konkrétní opatření zahrnují:
- Pravidelné zálohování a testování obnovy dat (offline a šifrované zálohy), aby byla minimalizována závislost na rychlém placení výkupného.
- Vícefaktorová autentizace (MFA), hardwarové peněženky pro správcovské klíče a využívání multisignature schémat v treasury managementu.
- Proaktivní monitoring blockchainu a nastavení alertů pro neobvyklé toky tokenů, interakce s adresami spojenými s known‑bad aktéry a rychlá komunikace s KYC/AML týmy.
- Investice do bezpečnostních auditů chytrých kontraktů, bug bounty programů a pravidelných pentestů, zejména u DeFi protokolů a custody řešení.
- Školení zaměstnanců a managementu v oblasti phishingu, sociálního inženýrství a postupů pro bezpečnou správu přístupových práv.
- Právní a pojišťovací příprava: zhodnocení pojistek kryjících výkupné, pochopení výjimky a právních důsledků placení, a navázání kontaktů s orgány činnými v trestním řízení a forenzními poskytovateli.
Regulátoři, orgány činné v trestním řízení a poskytovatelé on‑chain analytiky pravděpodobně budou i nadále utvářet ekonomiku ransomwaru a kriminálních aktivit umožněných kryptem. Přísnější sankce, cílené zásahy proti mixerům a tržištím a lepší sdílení indikátorů kompromitace mezi burzami snižují anonymitu a možnost rychlého zpeněžení ukradených prostředků. To vede k přesměrování ziskových modelů kyberzločinců, kteří buď snižují riziko, buď hledají alternativní cesty monetizace, nebo zkvalitňují své služby, aby udrželi hodnotu svých transakcí.
Pro čtenáře a rozhodující orgány v krypto průmyslu je tak doporučení jasné: budujte odolnost, investujte do prevence a zkvalitňujte spolupráci s analytickými a právními partnery. Přesné sledování bitcoinových toků, implementace AML opatření a technické zlepšení bezpečnostní posture podniků vytvoří kolektivní bariéru proti dalšímu růstu škod způsobených ransomwarem a krypto podvody.
Celkově zpráva Chainalysis a doplňující data od dalších bezpečnostních firem ukazují složitý obrázek: více pokusů o útoky a veřejných tvrzení o vydírání současně s klesajícími čistými výnosy. To znamená, že ekonomika ransomware se vyvíjí — z masivních, jednorázových „paydays" k modelu založenému na rozsáhlém množství menších, rychlých zásahů. Pro odpovědné subjekty v krypto ekosystému je klíčové přizpůsobit strategii obrany této realitě.
Zdroj: cointelegraph
Zanechte komentář