Ransomware je danas jedna od najrazornijih kibernetičkih prijetnji. Napadači šifriraju podatke tvrtke i traže otkupninu za njihovo vraćanje, a sve češće i prijete objavom ukradenih podataka. U 2024. godini prosječna otkupnina iznosila je preko 500.000 USD, dok su ukupni troškovi napada (zastoj, oporavak, gubitak klijenata) višestruko veći. Ovaj vodič pokriva sve, od razumijevanja prijetnje do konkretnih koraka zaštite i oporavka.
Sažetak i ključne točke
- Ransomware napadi porasli su za 67 % u 2024. godini.
- Prosječni ukupni trošak napada iznosi 4,88 mil. USD (IBM, 2024.).
- 73 % napada koristi dvostruku ucjenu: šifriranje i prijetnja objavom.
- Sigurnosne kopije (3-2-1 pravilo) najvažnija su mjera zaštite.
- NIS2 obvezuje prijavu ransomware incidenta u 24 sata (rano upozorenje).
- Plaćanje otkupnine ne garantira povrat podataka. CERT.hr i Europol savjetuju da se ne plaća.
Sadržaj
- Što je ransomware?
- Vrste ransomware napada
- Statistike i trendovi
- Kako ransomware ulazi u sustav
- Znakovi zaraze
- Kako zaštititi tvrtku
- Plan odgovora na ransomware napad
- Platiti ili ne platiti otkupninu?
- Ransomware i zakonski okvir u Hrvatskoj
- Oporavak nakon napada
- FAQ
- Zaključak
Što je ransomware?
Ransomware je vrsta zlonamjernog softvera (malware) koji ograničava pristup sustavu ili podacima žrtve (najčešće šifriranjem datoteka) i zahtijeva plaćanje otkupnine za vraćanje pristupa.
| Pojam | Značenje |
|---|---|
| Ransomware | Zlonamjerni softver za ucjenu |
| Otkupnina | Iznos koji napadač traži (obično u kriptovalutama) |
| Šifriranje | Pretvaranje podataka u nečitljiv oblik bez ključa |
| Ključ za dešifriranje | Kod koji vraća pristup podacima (napadač ga drži) |
| RaaS | Ransomware-as-a-Service: poslovni model u kojem napadači „iznajmljuju" ransomware |
| Dvostruka ucjena | Šifriranje podataka + prijetnja objavom ukradenih podataka |
| Trostruka ucjena | Šifriranje + objava + DDoS napad ili ucjena klijenata žrtve |
Kako funkcionira ransomware napad
1. Početni pristup → Phishing e-mail, ranjivost, ukradeni pristupni podaci
2. Uspostava uporišta → Instalacija alata, eskalacija privilegija
3. Lateralno kretanje → Širenje mrežom, kompromitacija Domain Controllera
4. Eksfiltracija → Kopiranje osjetljivih podataka na poslužitelje napadača
5. Šifriranje → Aktivacija ransomwarea, šifriranje svih dostupnih datoteka
6. Ucjena → Poruka s iznosom otkupnine i upustvima za plaćanje
Vrste ransomware napada
| Vrsta | Opis | Primjer |
|---|---|---|
| Crypto ransomware | Šifrira datoteke; sustav radi, ali podaci su nedostupni | LockBit, Cl0p |
| Locker ransomware | Zaključava pristup cijelom sustavu | WinLocker |
| Dvostruka ucjena | Šifrira + krade podatke i prijeti objavom | REvil, BlackCat |
| Trostruka ucjena | Šifrira + krade + napada DDoS-om ili ucjenjuje klijente | DarkSide |
| RaaS (Ransomware-as-a-Service) | Napadači kupuju ili „iznajmljuju" ransomware od developera | LockBit, BlackBasta |
| Wiper (destruktivni) | Šifrira podatke bez namjere davanja ključa, čista destrukcija | NotPetya, WhisperGate |
RaaS: kriminalni poslovni model
Ransomware-as-a-Service je model u kojem razvijatelji ransomwarea prodaju ili iznajmljuju svoj softver afilijatima (napadačima) koji provode napade. Zarada se dijeli, obično 70 do 80 % afilijatu, 20 do 30 % razvijatelju. Ovaj model je drastično snizio ulaznu barijeru za kibernetičke napadače.
Statistike i trendovi
Globalni podaci
| Statistika | Podatak |
|---|---|
| Rast napada | +67 % u 2024. (NCC Group) |
| Prosječna otkupnina | 568.000 USD (Sophos, 2024.) |
| Prosječni ukupni trošak | 4,88 mil. USD (IBM, 2024.) |
| Prosječno vrijeme oporavka | 24 dana zastoja |
| Udio dvostruke ucjene | 73 % svih napada |
| Udio žrtava koje plate | 29 % (pad s 37 % u 2023.) |
| Žrtve koje dobiju sve podatke natrag nakon plaćanja | Samo 65 % |
Napadnuti sektori (2024./2025.)
| Sektor | Udio napada |
|---|---|
| Zdravstvo | 18 % |
| Javna uprava | 14 % |
| Obrazovanje | 12 % |
| Financije | 11 % |
| Proizvodnja | 10 % |
| IT i telekomunikacije | 9 % |
| Maloprodaja | 7 % |
| Ostalo | 19 % |
Trend 2025./2026.: Napadači sve više ciljaju male i srednje tvrtke koje imaju manje resurse za zaštitu, ali su spremne platiti da izbjegnu propast. AI alati omogućuju automatizaciju napada i personalizaciju ucjene.
Kako ransomware ulazi u sustav
Glavni vektori napada
| Vektor | Udio | Opis |
|---|---|---|
| Phishing e-mail | 45 % | Zaraženi privitak ili poveznica u e-mailu |
| Iskorištavanje ranjivosti | 25 % | Neažurirani sustavi, poznate ranjivosti |
| Ukradeni pristupni podaci | 15 % | Kupljeni na dark webu ili dobiveni phishingom |
| RDP (Remote Desktop) | 10 % | Nezaštićeni udaljeni pristup |
| Opskrbni lanac | 5 % | Kompromitiran softver dobavljača |
Najčešće iskorištavane ranjivosti
- VPN uređaji bez ažuriranja (Fortinet, Citrix, Pulse Secure)
- Microsoft Exchange poslužitelji
- RDP izložen internetu bez MFA
- Zastarjele verzije operacijskih sustava
- Web aplikacije s poznatim ranjivostima
Prepoznavanje phishinga ključni je korak u prevenciji. Više: Phishing napadi: prepoznavanje i zaštita.
Znakovi zaraze
| Znak | Opis |
|---|---|
| Poruka o otkupnini | Datoteka ili slika s upustvima za plaćanje na zaslonu |
| Promijenjene ekstenzije | Datoteke dobivaju neobične ekstenzije (.locked, .encrypted, .crypt) |
| Nedostupne datoteke | Ne možete otvoriti dokumente, baze podataka ili slike |
| Neuobičajeno opterećenje | CPU i disk aktivni na 100 % (šifriranje u tijeku) |
| Onemogućeni sigurnosni alati | Antivirusni softver ili backup prestaju raditi |
| Nepoznati procesi | Sumnjivi procesi u upravitelju zadataka |
Ako primijetite bilo koji od ovih znakova, odmah isključite pogođeno računalo s mreže (ne gasiti potpuno!) i obavijestite IT odjel.
Kako zaštititi tvrtku
1. Sigurnosne kopije: pravilo 3-2-1
Najvažnija mjera zaštite. Čak i ako ransomware šifrira sve, ispravne sigurnosne kopije omogućuju oporavak bez plaćanja.
| Pravilo | Objašnjenje |
|---|---|
| 3 kopije podataka | Originalni podaci + 2 sigurnosne kopije |
| 2 različita medija | Npr. lokalni disk + oblak ili traka |
| 1 kopija izvan lokacije | Offline ili u drugom podatkovnom centru |
Dodatna pravila:
- Redovito testirajte oporavak iz sigurnosnih kopija
- Držite barem jednu kopiju offline (nedostupnu s mreže)
- Šifrirajte sigurnosne kopije
- Definirajte RPO (koliko podataka smijete izgubiti) i RTO (koliko brzo morate oporaviti)
2. Ažuriranje i upravljanje ranjivostima
| Mjera | Detalj |
|---|---|
| Redovito ažuriranje OS-a i aplikacija | Automatska ažuriranja gdje je moguće |
| Praćenje objava o ranjivostima | CERT.hr upozorenja, CVE baze |
| Prioritetno krpanje kritičnih ranjivosti | Unutar 72 sata za kritične, 30 dana za visoke |
| Skeniranje ranjivosti | Kvartalno ili nakon svake veće promjene |
3. Zaštita e-pošte
- Napredni filtri za privitke i poveznice
- SPF, DKIM, DMARC za sprečavanje lažiranja e-mailova
- Blokiranje opasnih vrsta privitaka (.exe, .js, .vbs, .scr)
- Simulacije phishinga za zaposlenike
4. Kontrola pristupa
| Mjera | Objašnjenje |
|---|---|
| MFA za sve sustave | Posebno za VPN, RDP, e-mail i admin račune |
| Načelo najmanjih privilegija | Korisnici imaju samo potrebne ovlasti |
| Privilegirani pristup | Posebna zaštita admin računa (PAM) |
| Segmentacija mreže | Ograničavanje lateralnog kretanja |
5. Zaštita krajnjih točaka
- EDR (Endpoint Detection and Response): naprednija zaštita od klasičnog antivirusa
- Kontrola aplikacija: dopuštanje samo odobrenih programa
- Blokiranje makroa u Office dokumentima
- Zaštita od ransomwarea: specifične značajke u modernim EDR rješenjima
6. Edukacija zaposlenika
- Redovita obuka o prepoznavanju phishinga
- Simulirani phishing napadi
- Jasna procedura za prijavu sumnjivih poruka
- Obuka za specifične uloge (IT, financije, uprava)
Trebate plan za odgovor na ransomware? Vision Compliance pruža izradu plana odgovora na incidente, tabletop vježbe, 24/7 podršku tijekom napada i koordinaciju s AZOP-om i CKS-om za prijavu povreda u 72 sata. Odgovor na GDPR i NIS2 incidente →
Plan odgovora
Što učiniti u prvih 24 sata
| Sat | Radnja |
|---|---|
| 0 do 1 | Identifikacija i potvrda incidenta |
| 0 do 1 | Izolacija pogođenih sustava (odvojiti od mreže, ne gasiti) |
| 1 do 4 | Aktivacija tima za odgovor na incidente |
| 1 do 4 | Procjena opsega: koji sustavi i podaci su pogođeni |
| 4 do 8 | Očuvanje dokaza: logovi, snimke memorije, uzorci ransomwarea |
| 8 do 12 | Obavještavanje uprave i pravnog tima |
| 12 do 24 | Početak procjene opcija oporavka |
| Do 24 sata | NIS2 rano upozorenje → CERT.hr (ako ste obuhvaćeni) |
Što NE raditi
| Pogreška | Zašto je opasno |
|---|---|
| Gasiti računala | Gubi se sadržaj memorije potreban za forenziku |
| Brisati datoteke | Uništava dokaze i otežava oporavak |
| Pokušavati sami dešifrirati | Može trajno oštetiti podatke |
| Komunicirati s napadačem bez stručnjaka | Može pogoršati pregovaračku poziciju |
| Platiti odmah | Ne garantira oporavak, financira kriminal |
Platiti ili ne platiti?
Argumenti protiv plaćanja
| Razlog | Objašnjenje |
|---|---|
| Nema garancije | Samo 65 % žrtava koje plate dobije sve podatke natrag |
| Financiranje kriminala | Plaćanje potiče daljnje napade |
| Ponovni napadi | 80 % tvrtki koje plate napadnute su ponovo |
| Pravni rizici | Plaćanje sankcioniranim grupama može biti protuzakonito |
| Moralna odgovornost | Financirate infrastrukturu koja napada druge |
Kada tvrtke ipak plaćaju
- Nema sigurnosnih kopija i podaci su kritični za poslovanje
- Ljudski životi su ugroženi (zdravstvo)
- Trošak zastoja premašuje otkupninu
- Osiguravatelji preporučuju (cyber osiguranje)
Službeni stavovi
| Organizacija | Preporuka |
|---|---|
| CERT.hr | Ne plaćati |
| Europol (No More Ransom) | Ne plaćati, pokušajte s besplatnim alatima za dešifriranje |
| ENISA | Ne plaćati, prijavite nadležnim tijelima |
| FBI | Ne plaćati, prijavite policiji |
No More Ransom projekt (nomoreransom.org) nudi besplatne alate za dešifriranje za mnoge vrste ransomwarea. Uvijek provjerite postoji li besplatan alat prije razmatranja plaćanja.
Zakonski okvir
NIS2 i Zakon o kibernetičkoj sigurnosti
Organizacije obuhvaćene NIS2 direktivom (Zakon o kibernetičkoj sigurnosti, NN 14/24) obvezne su:
| Obveza | Rok |
|---|---|
| Rano upozorenje o incidentu | 24 sata → CERT.hr |
| Detaljna obavijest | 72 sata → CERT.hr |
| Završno izvješće | 1 mjesec → CERT.hr |
| Mjere za upravljanje rizicima | Kontinuirano |
| Sigurnosne kopije i oporavak | Kontinuirano |
GDPR obveze
Ako ransomware napad uključuje osobne podatke:
- Prijava AZOP-u u 72 sata ako postoji rizik za prava ispitanika
- Obavještavanje ispitanika ako je rizik visok (podaci objavljeni ili ukradeni)
- Dokumentiranje incidenta u internoj evidenciji povreda
Detaljnije o obvezama prijave: GDPR vodič za Hrvatsku i NIS2 direktiva.
Oporavak nakon napada
Koraci oporavka
| Faza | Aktivnosti |
|---|---|
| 1. Forenzika | Analiza uzroka, opsega i korištenih tehnika |
| 2. Čišćenje | Uklanjanje ransomwarea i svih tragova kompromitacije |
| 3. Oporavak sustava | Ponovna izgradnja sustava iz čistih sigurnosnih kopija |
| 4. Provjera podataka | Verifikacija integriteta obnovljenih podataka |
| 5. Postupno vraćanje | Fazno vraćanje sustava u produkciju |
| 6. Pojačana zaštita | Primjena dodatnih mjera da se spriječi ponavljanje |
| 7. Naučene lekcije | Dokumentacija, revizija planova i procedura |
Prosječno vrijeme oporavka
| Scenarij | Vrijeme |
|---|---|
| S ispravnim backup-om i planom | 3 do 7 dana |
| S backup-om, ali bez plana | 2 do 4 tjedna |
| Bez backup-a, plaćanje otkupnine | 2 do 6 tjedana (ako ključ radi) |
| Bez backup-a, bez plaćanja | Trajni gubitak podataka |
FAQ
Trebamo li platiti otkupninu kod ransomwarea?
Plaćanje se ne preporučuje. Ne jamči povrat podataka i potiče daljnje napade. Ključ su testirane sigurnosne kopije i plan oporavka. Incident može imati i obvezu prijave.
Kako spriječiti ransomware?
Uvedite sigurnosne kopije izvan mreže, višefaktorsku prijavu, ažuriranje sustava i edukaciju zaposlenika. Pripremite plan odgovora i testirajte ga. Procijenite zaštitu.
Moramo li prijaviti ransomware napad?
Ovisi o učinku. Ako je riječ o povredi osobnih podataka, prijava AZOP-u je u 72 sata. Ako ste NIS2 obveznik i incident je značajan, vrijedi rok od 24 sata.
Može li ransomware zaraziti i oblak (cloud)?
Da. Ako ransomware kompromitira račun s pristupom oblaku (npr. OneDrive, SharePoint, AWS S3), može šifrirati ili izbrisati podatke u oblaku. Oblačni servisi imaju vlastite verzioniranje i backup mehanizme, ali ih treba konfigurirati.
Štiti li antivirusni program od ransomwarea?
Klasični antivirusni programi ne štite dovoljno. Potreban je EDR (Endpoint Detection and Response) koji koristi naprednu analizu ponašanja za otkrivanje ransomwarea.
Je li cyber osiguranje isplativo?
Za tvrtke s visokim rizikom, da. Cyber osiguranje pokriva troškove oporavka, forenzike, pravnih savjeta i potencijalne kazne. Premija ovisi o veličini tvrtke, sektoru i razini zaštite.
Koliko često treba testirati sigurnosne kopije?
Kvartalno je minimum, mjesečno je preporučljivo. Testiranje mora uključivati potpuni oporavak sustava, ne samo provjeru da datoteke postoje.
Mogu li se zaštititi male tvrtke s ograničenim budžetom?
Da. Ključne mjere za mali budžet: sigurnosne kopije (3-2-1), MFA na svim sustavima, ažuriranje softvera, edukacija zaposlenika i EDR rješenje. Većina ovih mjera zahtijeva više vremena nego novca.
Zaključak
Ransomware nije pitanje hoće li se dogoditi, nego kada. Organizacije koje unaprijed pripreme obranu i plan oporavka daleko bolje prolaze od onih koje reagiraju tek nakon napada.
Ključne poruke: (1) Sigurnosne kopije (3-2-1) su najvažnija mjera, testirajte ih redovito. (2) Phishing je glavni ulaz, educirajte zaposlenike. (3) MFA i ažuriranje zatvaraju većinu ostalih vektora. (4) Ne plaćajte otkupninu ako imate alternativu. (5) Pripremite plan odgovora prije nego što ga trebate.
Trebate pomoć? Vision Compliance nudi kibernetičku sigurnost, od procjene rizika i pripreme planova oporavka do tehničkih mjera zaštite od ransomwarea. Zakažite besplatnu konzultaciju.
Povezani članci
- Kibernetički napadi: Vrste, primjeri i zaštita. Pregled svih kibernetičkih prijetnji za tvrtke
- Upravljanje kibernetičkim incidentima. Plan odgovora i obveze prijave incidenata
- Zero Trust sigurnosni model. Arhitektura koja smanjuje površinu napada
Izvori: ENISA, CERT.hr, Europol (No More Ransom), IBM Cost of a Data Breach 2025., NIS2 direktiva, Sophos State of Ransomware 2025.
Robert Lozo, mag. iur., partner je u Vision Complianceu specijaliziran za usklađenost s EU regulativom. Savjetuje organizacije o GDPR-u, NIS2, AI Actu i financijskoj regulativi te izrađuje dokumentaciju spremnu za reviziju i planove usklađenosti u reguliranim industrijama.