Kaip atrodo ransomware grėsmė šiandien
Jei manote, kad ransomware – tai kažkoks tolimas dalykas, kuris nutinka tik didelėms užsienio korporacijoms, turiu jums blogų naujienų. 2026-ieji Lietuvoje jau dabar rodo, kad situacija yra visiškai kitokia. Išpirkos reikalaujančios programos tapo tokios sofistikuotos, tokios gerai organizuotos ir tokios prieinamos net ir vidutinio lygio kibernetiniams nusikaltėliams, kad kalbėti apie tai kaip apie „retą atvejį” tiesiog nebegalima.
Per pastaruosius dvejus metus Lietuvos įmonės patyrė daugiau ransomware incidentų nei per visą ankstesnį dešimtmetį kartu sudėjus. Tai nėra atsitiktinumas. Tai yra natūrali pasekmė to, kad mes, kaip šalis, sparčiai skaitmenizavomės, tačiau kibernetinio saugumo kultūra daugelyje organizacijų vis dar atsilieka nuo realios grėsmės lygio. Ir nusikaltėliai tai žino puikiai.
Šiame straipsnyje kalbėsime apie tai, kas iš tikrųjų vyksta, kokios atakų tendencijos dominuoja 2026-aisiais, ir – svarbiausia – ką konkrečiai galite padaryti, kad jūsų įmonė netaptų kita statistikos eilute.
Kas iš tikrųjų nutiko Lietuvos įmonėms
Pradėkime nuo konkrečių faktų, nes abstrakčios kalbos apie „kibernetines grėsmes” jau seniai niekam neįdomios. 2025–2026 metų laikotarpiu Lietuvoje buvo užfiksuoti keli reikšmingi ransomware incidentai, kurie paveikė tiek privačias įmones, tiek viešojo sektoriaus institucijas.
Vienas iš labiausiai aptariamų atvejų – vidutinio dydžio logistikos įmonė Kaune, kuri prarado prieigą prie visų savo operacinių duomenų per vieną naktį. Ataka buvo vykdoma per pažeidžiamą VPN klientą, kuriam nebuvo pritaikytas saugumo pataisas jau kelis mėnesius. Išpirka buvo reikalaujama kriptovaliuta – apie 180 000 eurų. Įmonė mokėti atsisakė, tačiau duomenų atkūrimas iš atsarginių kopijų (kurios, laimei, egzistavo) užtruko beveik tris savaites, o verslo nuostoliai siekė kur kas daugiau nei reikalauta išpirka.
Kitas atvejis – mažesnė buhalterinių paslaugų įmonė Vilniuje, kuri tapo taikiniu dėl to, kad turėjo prieigą prie kelių dešimčių klientų finansinių sistemų. Čia nusikaltėliai naudojo dvigubą prievartavimo taktiką: ne tik užšifravo duomenis, bet ir grasino juos viešai paskelbti. Tokiu atveju spaudimas yra dvigubas – ne tik jūsų verslo tęstinumas, bet ir jūsų klientų pasitikėjimas bei galima BDAR atsakomybė.
Šie pavyzdžiai nėra išimtys. Jie yra taisyklė. Ir tai, kas juos sieja, yra ne pažangios technologijos ar nepaprastai gudri taktika – tai paprastos, žinomos saugumo spragos, kurios nebuvo uždarytos laiku.
Kaip veikia šiuolaikiniai ransomware grupuotės
Ransomware 2026-aisiais – tai nebe vienas programišius su hoodie, sėdintis rūsyje. Tai yra gerai organizuotos, hierarchiškai struktūruotos nusikalstamos organizacijos, veikiančios pagal verslo modelį, kurį galėtų pavydėti ne vienas legalus startuolis.
Dominuojantis modelis šiandien vadinamas Ransomware-as-a-Service (RaaS). Tai reiškia, kad ransomware kūrėjai patys tiesiogiai atakų nevykdo – jie parduoda arba nuomoja savo įrankius kitiems nusikaltėliams (vadinamiems „affiliates”), kurie vykdo atakas ir dalina pelną su platformos kūrėjais. Tipiškas padalijimas – 70-80% affiliates, 20-30% platformai.
Štai kaip atrodo tipinė atakos grandinė 2026-aisiais:
- Pradinė prieiga – dažniausiai per phishing el. laiškus, pažeidžiamus viešai prieinamus servisus (RDP, VPN, el. pašto serveriai) arba per kompromituotus tiekimo grandinės partnerius
- Žvalgyba – užpuolikai gali sėdėti jūsų tinkle savaites ar net mėnesius prieš aktyvuodami šifravimą, kartografuodami sistemas, ieškodami vertingiausių duomenų ir atsarginių kopijų
- Privilegijų eskalavimas – įsitvirtinę sistemoje, jie siekia gauti administratoriaus teises
- Duomenų eksfiltracija – prieš šifruojant, duomenys iškeliami į išorę (dvigubas prievartavimas)
- Šifravimas ir reikalavimas – tik tada aktyvuojamas šifravimas ir pateikiamas išpirkos reikalavimas
Šiandien aktyviai veikiančios grupuotės, tokios kaip LockBit 4.0, BlackCat/ALPHV įpėdiniai ir kelios naujos grupuotės, kurios atsirado po 2024–2025 metų teisėsaugos operacijų, vis dažniau taikosi į Rytų Europos rinkas, įskaitant Baltijos šalis. Priežastis paprasta – didesnės Vakarų Europos įmonės jau investavo į saugumą, o mes dar esame „švelnesnis” taikinys.
Pažeidžiamiausi sektoriai Lietuvoje
Ne visos įmonės yra vienodai patrauklios taikiniai. Ransomware grupuotės nėra atsitiktiniai – jos analizuoja, kur galima gauti didžiausią grąžą su mažiausiomis pastangomis. Ir Lietuvos kontekste yra keletas sektorių, kurie šiuo metu yra ypač pažeidžiami.
Sveikatos priežiūra – ligoninės ir klinikos yra ypač patrauklios dėl kelių priežasčių: jų duomenys yra itin jautrūs, sistemos dažnai yra senos ir nepakankamai atnaujintos, o bet koks sutrikimas tiesiogiai kelia pavojų pacientų gyvybei, todėl spaudimas mokėti išpirką yra maksimalus. Lietuvos sveikatos priežiūros sektoriuje IT infrastruktūra daugelyje įstaigų vis dar remiasi Windows sistemomis, kurių palaikymas jau seniai baigėsi.
Logistika ir transportas – Lietuva yra tranzitinė šalis, ir logistikos sektorius yra vienas dinamiškiausių. Tačiau šiame sektoriuje IT saugumas dažnai yra paskutinis prioritetas – svarbiau, kad sunkvežimiai važiuotų, ne kad ugniasienė būtų atnaujinta. Tai nusikaltėliai žino.
Buhalterinės ir teisinės paslaugos – šios įmonės turi prieigą prie daugybės klientų finansinių duomenų, tačiau pačios dažnai yra mažos ir neturi dedikuoto IT saugumo specialisto. Tai yra idealus taikinys dvigubam prievartavimui.
Gamyba – pramonės įmonės vis dažniau naudoja OT (operacinių technologijų) sistemas, kurios yra prijungtos prie IT tinklų. Kai ransomware patenka į gamybos valdymo sistemas, sustoja visa gamyba – o tai reiškia milžiniškus nuostolius kiekvieną valandą.
Savivaldybės ir viešasis sektorius – biudžeto apribojimai reiškia, kad IT saugumui skiriama mažai lėšų, o sistemos dažnai yra senos. Tačiau duomenys – piliečių asmens duomenys, finansinė informacija – yra itin jautrūs.
Techniniai vektoriai, kuriais atakuojama 2026-aisiais
Kalbėkime konkrečiai apie tai, kaip užpuolikai patenka į sistemas. Žinoti atakos vektorius – tai pirmas žingsnis jų blokavimui.
Phishing ir spear-phishing vis dar yra numeris vienas. Tačiau 2026-aisiais phishing el. laiškai yra nepalyginamai kokybiškesni nei prieš penkerius metus. Generatyvinis AI leidžia kurti tobulai suformatuotus, be gramatinių klaidų, kontekstualiai tiksliai pritaikytus laiškus. Lietuviškai. Su jūsų vadovo vardu. Su nuoroda į dokumentą, kuris atrodo kaip tikras jūsų įmonės dokumentas.
Pažeidžiami išoriniai servisai – RDP (Remote Desktop Protocol) vis dar yra vienas populiariausių įėjimo taškų. Daugybė Lietuvos įmonių turi RDP atvirą internete, dažnai su silpnais slaptažodžiais. Tai yra ekvivalentas palikti biuro duris atviras su užrašu „prašom eiti”.
VPN pažeidžiamumai – po COVID pandemijos VPN naudojimas išaugo dramatiškai, tačiau daugelis įmonių neatnaujina savo VPN programinės įrangos reguliariai. Pažeidžiamos Fortinet, Pulse Secure, Citrix ir kitų populiarių VPN sprendimų versijos buvo ir tebėra aktyviai eksploatuojamos.
Tiekimo grandinės atakos – tai yra vienas pavojingiausių ir sunkiausiai aptinkamų vektorių. Užpuolikai kompromituoja jūsų patikimą partnerį ar programinės įrangos tiekėją ir per jį patenka į jūsų sistemą. Jūs galite turėti tobulą saugumą, tačiau jei jūsų buhalterinės programinės įrangos tiekėjas buvo kompromituotas – jūs esate pažeidžiami.
MFA apėjimas – daugiafaktorinis autentifikavimas jau nėra absoliutus gynybos būdas. Šiuolaikinės atakos naudoja MFA fatigue (bombarduoja vartotoją push pranešimais, kol šis pavargęs patvirtina), adversary-in-the-middle proxy atakas ir socialinę inžineriją, kad apeitų net ir gerai sukonfigūruotą MFA.
Praktinis patarimas čia yra aiškus: pereikite nuo SMS ar push notification MFA prie FIDO2/passkey sprendimų, kurie yra atsparūs phishing atakoms. Tai nėra brangus ar sudėtingas žingsnis, tačiau dramatiškai sumažina riziką.
Ką daryti prieš, per ir po atakos
Čia pereisime prie praktinės dalies, nes teorija be veiksmų yra beprasmė. Suskirstykime tai į tris fazes.
Prieš ataką – prevencija
Pirmiausia – atsarginės kopijos pagal 3-2-1-1-0 taisyklę. Turėkite tris kopijas duomenų, dviejose skirtingose laikmenose, vieną iš jų ne toje pačioje vietoje, vieną offline (air-gapped), ir nulis nepatikrintų kopijų – tai reiškia, kad reguliariai testuokite atkūrimą. Daugelis Lietuvos įmonių turi atsargines kopijas, bet niekada jų netestavo. Kai ateina laikas atkurti – paaiškėja, kad kopija yra sugadinta arba nepilna.
Tinklo segmentavimas yra kitas kritinis elementas. Jei ransomware patenka į vieną jūsų tinklo dalį, segmentavimas neleidžia jam plisti į visas sistemas. Tai reiškia, kad gamybos sistemos, buhalterija, HR ir IT administravimas turėtų būti atskiruose tinklo segmentuose su kontroliuojamu srautu tarp jų.
Patch management – skamba nuobodžiai, bet tai yra vienas efektyviausių gynybos būdų. Sukurkite procesą, kuris užtikrina, kad kritiniai saugumo pataisai būtų pritaikomi per 24-48 valandas nuo jų išleidimo. Naudokite automatizuotus įrankius kaip WSUS, Ansible ar komercinius sprendimus.
Privilegijų minimizavimas (Least Privilege) – kiekvienas vartotojas turėtų turėti tik tas teises, kurių jam reikia darbui atlikti. Jei buhalterė gali pasiekti serverio administravimo konsolę – tai yra problema. Reguliariai peržiūrėkite prieigos teises ir šalinkite nereikalingas.
Darbuotojų mokymai – ir ne tie formalūs, kasmetiniai, kuriuos visi spaudžia „next, next, finish”. Kalbame apie realius, interaktyvius mokymus su simuliuotomis phishing atakomis, kurios parodo, kaip atrodys tikra ataka. Įmonės, kurios reguliariai vykdo phishing simuliacijas, mato dramatišką paspaudimų rodiklių sumažėjimą per 6-12 mėnesių.
Per ataką – reagavimas
Jei ataka jau vyksta, kiekviena minutė yra svarbi. Turėkite iš anksto parengtą Incident Response planą – ne teorinį dokumentą, o praktinį vadovą su konkrečiais veiksmais, atsakingais asmenimis ir kontaktais.
Pirmas žingsnis – izoliuokite paveiktas sistemas. Atjunkite jas nuo tinklo, bet neišjunkite (išjungimas gali sunaikinti forensinius įrodymus atmintyje). Pranešite NKSC (Nacionalinis kibernetinio saugumo centras) – tai yra ne tik gera praktika, bet tam tikrais atvejais ir teisinė pareiga.
Nemokėkite išpirkos be gilaus apmąstymo. Statistika rodo, kad net sumokėjus išpirką, tik apie 65% įmonių gauna veikiančius iššifravimo įrankius, o dalis jų vėliau vėl tampa taikiniais, nes žinoma, kad moka. Prieš priimant bet kokį sprendimą, konsultuokitės su kibernetinio saugumo specialistais ir teisėsauga.
Po atakos – atkūrimas ir pamokos
Atkūrimas iš atsarginių kopijų – tai ne tik techninė operacija. Tai yra procesas, kuris gali užtrukti savaites. Turėkite aiškų prioritetų sąrašą: kurios sistemos turi būti atkurtos pirmos, kad verslas galėtų tęstis minimaliu lygiu.
Ir svarbiausia – atlikite post-mortem analizę. Kaip užpuolikai pateko? Kiek laiko jie buvo sistemoje? Kokios gynybos priemonės suveikė, o kokios ne? Šios pamokos yra brangiai nupirktos – bent jau panaudokite jas.
Teisinė ir reguliacinė aplinka Lietuvoje
Daugelis Lietuvos įmonių vis dar nesupranta, kad ransomware ataka nėra tik techninis incidentas – tai yra ir teisinė problema. Ir 2026-aisiais reguliacinė aplinka yra žymiai griežtesnė nei prieš kelerius metus.
NIS2 direktyva, kuri Lietuvoje buvo perkelta į nacionalinę teisę, reikalauja iš esminio ir vidutinės svarbos sektorių subjektų ne tik turėti kibernetinio saugumo priemones, bet ir pranešti apie incidentus per 24 valandas nuo jų aptikimo. Pirminis pranešimas NKSC turi būti pateiktas per 24 valandas, išsamesnis – per 72 valandas. Nesilaikant šių reikalavimų, gresia baudos, kurios gali siekti iki 10 milijonų eurų arba 2% metinės apyvartos.
BDAR taip pat yra aktualus, jei atakos metu buvo paveikti asmens duomenys. Duomenų valdytojai privalo pranešti Valstybinei duomenų apsaugos inspekcijai per 72 valandas. Ir čia yra subtilybė – net jei jūs sumokėjote išpirką ir gavote iššifravimo raktą, tai nereiškia, kad duomenų pažeidimo nebuvo. Duomenys buvo eksportuoti – tai yra pažeidimas.
Praktinis patarimas: jau dabar turėkite parengtą komunikacijos planą – ką ir kaip pranešite reguliatoriams, klientams, partneriams ir žiniasklaidai. Krizės metu nėra laiko galvoti apie formuluotes.
Taip pat verta paminėti kibernetinio saugumo draudimą. Lietuvos rinkoje šis produktas tampa vis prieinamesnis, tačiau svarbu suprasti, kad draudimas neapsaugo nuo atakos – jis tik padeda padengti finansinius nuostolius. Ir draudikai vis dažniau reikalauja minimalaus saugumo lygio prieš išduodami polisą – tai savaime yra geras postūmis gerinti saugumą.
Kai statistika tampa realybe – ką tai reiškia jūsų verslui
Grįžkime prie esmės. Visi šie techniniai terminai, visi šie scenarijai – jie yra realūs. Ir 2026-aisiais klausimas nėra „ar mūsų įmonė bus atakuota”, o „kada ir kaip gerai mes būsime pasiruošę”.
Vidutinė ransomware atakos kaina Europoje 2025–2026 metais, įskaičiuojant verslo prastovą, atkūrimo kaštus, teisinius mokesčius ir reputacijos žalą, siekia nuo kelių šimtų tūkstančių iki kelių milijonų eurų. Tai yra suma, kuri gali sunaikinti vidutinę Lietuvos įmonę. Ir tai nėra hiperbolė.
Tačiau yra ir gera žinia: didžioji dalis sėkmingų ransomware atakų yra įmanoma dėl žinomų, išsprendžiamų problemų. Ne dėl nepaprastai pažangių atakų. Dėl neatnaujintos programinės įrangos. Dėl silpnų slaptažodžių. Dėl nepatikrintų atsarginių kopijų. Dėl darbuotojų, kurie niekada nebuvo mokomi atpažinti phishing.
Jei jūsų įmonė šiandien padarytų šiuos penkis dalykus – atnaujintų visą programinę įrangą, įdiegtų FIDO2 MFA, sukurtų ir patikrintų atsargines kopijas, segmentuotų tinklą ir pravestų realistinį darbuotojų mokymą – jūs jau būtumėte žymiai saugesni nei 80% Lietuvos įmonių.
Kibernetinis saugumas nėra vienkartinis projektas. Tai yra nuolatinis procesas. Ir jis prasideda ne nuo milijoninių investicijų į pažangias technologijas, o nuo sprendimo, kad tai yra prioritetas. Kad tai yra verslo tęstinumo klausimas. Kad tai yra jūsų klientų pasitikėjimo klausimas.
Lietuvos įmonės turi unikalią galimybę mokytis iš kitų klaidų – iš tų, kurie jau patyrė atakas. Klausimas tik tas, ar mes tą galimybę išnaudosime, ar laukime, kol patys tapsime pamoka kitiems.
