Raptoric Journal/Detekcija i odgovor
Detekcija i odgovor15. lipnja 2026. · 14 min čitanja

Ransomware: kako se zaštititi i odgovoriti na napad

Ransomware šifrira vaše podatke i traži otkupninu, a sve češće ih i ukrade prije šifriranja. Evo kako napad izgleda, kako ga spriječiti i kako odgovoriti tako da prekid bude što kraći.
Tim za odgovor na incidente koordinira oporavak uz nadzornu ploču incidenta.
Autor
LH
Lovro Heruc
Ofenzivna sigurnost, aplikacije i detekcija
Podijelite
LinkedInX / TwitterCopy link

Ransomware je vrsta zlonamjernog softvera koji šifrira podatke na zaraženim sustavima i zatim traži otkupninu za ključ kojim se podaci mogu otključati. Za tvrtku to znači da preko noći može ostati bez pristupa svojim datotekama, bazama podataka i sustavima, a poslovanje stane dok se situacija ne riješi. Posljednjih godina napadi su postali još opasniji jer napadači prije šifriranja podatke i ukradu, pa prijete njihovom objavom ako se otkupnina ne plati.

Ransomware je danas jedna od najozbiljnijih prijetnji za organizacije svih veličina, a posebno za one koje ne smiju trpjeti prekid rada, poput bolnica, financijskih institucija i pružatelja kritične infrastrukture. Dobra vijest je da se rizik može znatno smanjiti, a šteta ograničiti, kombinacijom prevencije, detekcije i pripremljenog odgovora. Ovaj tekst objašnjava kako napad izgleda, kako ga spriječiti i kako reagirati ako do njega dođe.

Što je ransomware

Ransomware dolazi od engleske riječi za otkupninu i opisuje zlonamjerni softver koji žrtvi uskraćuje pristup podacima ili sustavima dok se ne plati. Najčešće šifrira datoteke snažnom enkripcijom koju je bez ključa praktički nemoguće razbiti. Nakon šifriranja žrtva obično dobiva poruku s uputama za plaćanje, redovito u kriptovalutama kako bi se otežalo praćenje novca.

Važno je razumjeti da ransomware rijetko djeluje sam. Iza napada gotovo uvijek stoji čovjek koji je prethodno ušao u mrežu, proširio pristup i tek na kraju pokrenuo šifriranje. To znači da napad ima fazu tijekom koje se može otkriti i zaustaviti, prije nego nastane šteta.

Kako napad izgleda korak po korak

Tipičan ransomware napad nije trenutačan događaj, nego niz koraka koji se mogu odvijati danima ili tjednima. Razumijevanje tih faza pokazuje gdje se obrana može umetnuti.

  1. 01
    Početni pristup
    Najčešće kroz phishing poruku, ukradene vjerodajnice ili neukrpanu ranjivost na sustavu izloženom internetu.
  2. 02
    Učvršćivanje i izviđanje
    Napadač mapira mrežu, traži vrijedne podatke i identificira sigurnosne kopije.
  3. 03
    Širenje i povišenje ovlasti
    Napadač se kreće kroz sustave i preuzima administratorske ovlasti.
  4. 04
    Krađa podataka
    Kopira osjetljive podatke prije šifriranja, radi kasnije iznude.
  5. 05
    Šifriranje
    Pokreće se ransomware i podaci postaju nedostupni, često namjerno izvan radnog vremena.
  6. 06
    Iznuda
    Napadač traži otkupninu i prijeti objavom ukradenih podataka ako se ne plati.

Dvostruka i trostruka iznuda

Nekad je ransomware samo šifrirao podatke, pa je dobra sigurnosna kopija bila gotovo potpuna obrana. Danas napadači koriste dvostruku iznudu: prvo ukradu podatke, a zatim ih šifriraju. Čak i ako vratite sustave iz kopije, prijeti objava ukradenih podataka. Neki idu i korak dalje, u trostruku iznudu, dodajući pritisak poput napada uskraćivanjem usluge ili izravnog kontaktiranja vaših klijenata i partnera.

Zato moderna obrana od ransomwarea ne može počivati samo na sigurnosnim kopijama. Kopije rješavaju problem dostupnosti, ali ne i problem povjerljivosti ukradenih podataka. Potrebno je spriječiti i sam ulazak i krađu, a ne samo omogućiti oporavak.

Sigurnosna kopija vraća vaše podatke. Ne vraća podatke koje je napadač već ukrao. Zato se obrana od ransomwarea gradi na sprječavanju ulaska, ne samo na oporavku.

Kako ransomware ulazi u sustav

Gotovo svaki ransomware napad počinje na jednom od nekoliko predvidljivih ulaza. Upravo na njima obrana ima najveći učinak.

  • Phishing i socijalni inženjering, gdje zaposlenik otvori privitak ili otkrije vjerodajnice, o čemu pišemo u tekstu o phishingu i socijalnom inženjeringu.
  • Ukradene ili slabe vjerodajnice, posebno za udaljeni pristup poput RDP-a izloženog internetu.
  • Neukrpane ranjivosti na poslužiteljima, VPN uređajima i aplikacijama izloženima internetu.
  • Rizik lanca opskrbe, gdje napadač uđe kroz kompromitiranog dobavljača ili softver koji koristite.

Kako se zaštititi

Prevencija ransomwarea ne svodi se na jedan alat, nego na nekoliko slojeva koji zajedno otežavaju i ulazak i širenje napada.

  • Redovite sigurnosne kopije po pravilu tri kopije, dva medija, jedna izvan lokacije, uz barem jednu kopiju koju napadač ne može izmijeniti ni obrisati.
  • Redovito ažuriranje i upravljanje zakrpama, jer napadači brzo iskorištavaju poznate ranjivosti.
  • Višefaktorska autentikacija na svim pristupima, posebno na udaljenom pristupu i administratorskim računima.
  • Segmentacija mreže, koja sprječava da se napad slobodno širi cijelom organizacijom.
  • Načelo najmanjih ovlasti, gdje korisnici i sustavi imaju samo pristup koji im je stvarno potreban.
  • Napredna detekcija na krajnjim točkama (EDR) koja prepoznaje sumnjivo ponašanje, a ne samo poznate viruse.
  • Edukacija zaposlenika, jer velik dio napada počinje ljudskom pogreškom.

Sigurnosne kopije su posljednja linija obrane

Ako sve ostalo zakaže, sigurnosna kopija odlučuje hoćete li se oporaviti u danima ili tjednima. No kopija vrijedi samo ako je napadač ne može doseći i ako se iz nje stvarno možete vratiti. Napadači danas ciljano traže i brišu sigurnosne kopije prije šifriranja, pa kopija spojena na istu mrežu često nije dovoljna.

Zato kopije moraju biti odvojene i nepromjenjive, a oporavak iz njih treba redovito testirati. Kopija koju nikad niste pokušali vratiti je pretpostavka, ne jamstvo. Testiranje oporavka otkriva probleme prije nego što ih otkrijete usred stvarnog napada.

Rana detekcija mijenja ishod

Budući da ransomware napad traje, a ne događa se odjednom, rana detekcija često je razlika između manjeg incidenta i potpunog zastoja. Sumnjivo ponašanje, poput naglog pristupa velikom broju datoteka, neuobičajenih prijava ili pokušaja gašenja sigurnosnih alata, može upozoriti na napad dok je još u tijeku.

Upravo to pokrivamo kroz usluge detekcije i odgovora na incidente, gdje gradimo detekcije prilagođene vašem okruženju i prijetnjama te omogućujemo da se napad zaustavi prije faze šifriranja. Proaktivni lov na prijetnje dodatno traži znakove napadača koji su zaobišli automatsku detekciju.

Kako odgovoriti na napad

Ako do napada dođe, pripremljen odgovor ograničava štetu. Paničan, neorganiziran odgovor obično je pogorša.

  • Izolirajte zaražene sustave od mreže kako biste zaustavili širenje, ali ih nemojte odmah gasiti jer to može uništiti dokaze.
  • Pokrenite plan odgovora na incident i obavijestite odgovorne osobe i, po potrebi, vanjski tim za odgovor.
  • Sačuvajte dokaze i provedite forenzičku analizu kako biste utvrdili kako je napadač ušao i dokle je došao.
  • Procijenite jesu li ukradeni osobni podaci, jer to može pokrenuti obvezu prijave u roku od 72 sata.
  • Vraćajte sustave iz provjerenih sigurnosnih kopija tek nakon što ste sigurni da je napadač uklonjen iz okruženja.
  • Provedite pregled nakon incidenta i zatvorite propust kroz koji je napad ušao, da se ne ponovi.

Treba li platiti otkupninu?

Opća preporuka, koju dijele i tijela za kibernetičku sigurnost, jest da se otkupnina ne plaća. Plaćanje ne jamči povrat podataka, financira daljnje napade i ne uklanja rizik objave ukradenih podataka. Osim toga, plaćanje određenim akterima može imati i pravne posljedice. Odluka je u krajnjoj liniji poslovna, ali se donosi puno lakše kada imate provjerene sigurnosne kopije i jasan plan oporavka.

Ransomware i regulatorne obveze

Ransomware napad često je istovremeno i regulatorni događaj. Ako ste obveznik NIS2 direktive, značajan incident morate prijaviti u kratkim rokovima, o čemu pišemo u tekstu o NIS2 i Zakonu o kibernetičkoj sigurnosti. Financijske institucije imaju slične obveze prema DORA-i. Ako su ukradeni osobni podaci, na scenu stupa i obveza prijave prema GDPR-u, koju objašnjavamo u tekstu o zaštiti osobnih podataka.

Sve te obveze imaju zajednički preduvjet: morate znati što se dogodilo i dokle je napad dopro. Bez detekcije i forenzike nemoguće je ispuniti rokove ni dati regulatoru točnu sliku. Cijeli program spremnosti, od prevencije do odgovora i usklađenosti, vodimo kroz usluge upravljanja, rizika i usklađenosti.

Ransomware se ne može potpuno isključiti, ali se rizik može svesti na razinu kojom se upravlja, a šteta ograničiti pripremom. Ako želite znati koliko je vaša organizacija otporna i kako biste odgovorili na stvaran napad, pogledajte naše usluge detekcije i odgovora na incidente i dogovorite uvodni razgovor.

Česta pitanja

Što je ransomware jednostavno objašnjeno?
Ransomware je zlonamjerni softver koji zaključa vaše podatke šifriranjem i traži otkupninu za otključavanje. Sve češće napadači podatke i ukradu prije šifriranja, pa prijete njihovom objavom. Cilj je prisiliti žrtvu na plaćanje.
Je li sigurnosna kopija dovoljna zaštita od ransomwarea?
Sigurnosna kopija ključna je za oporavak, ali nije dovoljna sama za sebe. Rješava vraćanje podataka, ali ne i krađu kod dvostruke iznude. Osim toga, kopiju mora biti nemoguće obrisati ili izmijeniti, a oporavak iz nje redovito testiran. Potpuna obrana kombinira prevenciju, detekciju i kopije.
Trebamo li platiti ako nas napadnu?
Preporuka je da se ne plaća jer plaćanje ne jamči povrat podataka, financira buduće napade i može imati pravne posljedice. Odluku je puno lakše donijeti ako imate provjerene sigurnosne kopije i plan oporavka, pa plaćanje nije jedina opcija.
Kako brzo treba reagirati na ransomware?
Što prije. Budući da se napad odvija u fazama, rana reakcija može ga zaustaviti prije šifriranja. Nakon šifriranja, brza izolacija sprječava daljnje širenje. Zato je unaprijed pripremljen plan odgovora i sposobnost detekcije presudan za ishod.

Izvori

  1. 1ENISA. ENISA Threat Landscape — Ransomware. European Union Agency for Cybersecurity, 2024. Poveznica
  2. 2CISA. #StopRansomware. Cybersecurity and Infrastructure Security Agency, 2024. Poveznica
Želite li ovakvu provjeru na vlastitim sustavima?
Naš tim definirat će opseg posla s vama u 30-minutnom razgovoru.
Dogovorite razgovor
Nastavite čitati
Svi tekstovi →