Nhiều công ty an ninh mạng vừa công bố báo cáo quý I năm 2025 về thực trạng các cuộc tấn công ransomware hiện tại. Mặc dù số liệu có sự khác biệt giữa các báo cáo do phương pháp theo dõi khác nhau, nhưng tất cả đều thống nhất rằng năm nay đã chứng kiến mức tăng kỷ lục các cuộc tấn công ransomware với số lượng nạn nhân mới cao chưa từng thấy. Tấn công bằng mã độc tống tiền (ransomware) đã tăng 126% chỉ trong ba tháng đầu năm 2025.
 |
| Ảnh minh họa |
Báo cáo State of Ransomware 2025 của công ty BlackFog ghi nhận số lượng các vụ tấn công ransomware được nạn nhân công bố trong quý I/2025 ở mức cao kỷ lục. BlackFog đã theo dõi được 278 vụ tấn công được tiết lộ trong quý này, tăng 45% so với cùng kỳ năm 2024. Tổng số 278 vụ tấn công được công khai chỉ chiếm 11,6% tổng số vụ tấn công trong quý I năm 2025, trong khi có tới 2.124 vụ tấn công khác được BlackFog theo dõi nhưng không được nạn nhân tiết lộ. Số lượng vụ tấn công không công bố đã tăng 113% so với cùng kỳ năm 2024.
Nhóm Nghiên cứu và Tình báo của GuidePoint (GRIT) cũng đã công bố báo cáo GRIT 2025 - Báo cáo Thông tin về Ransomware & Mối đe dọa mạng Quý 1 - trong đó xếp hạng quý 1 năm 2025 là quý tồi tệ nhất từ trước đến nay về số lượng nạn nhân, với 2.063 nạn nhân mới bị tấn công bằng ransomware được ghi nhận. Con số này tăng 30,8% so với quý trước và tăng 102% so với quý 1 năm 2024. Điều đặc biệt đáng chú ý là sự gia tăng số lượng các nhóm ransomware đang hoạt động, tăng 16,7% so với quý 4 năm 2024 và tăng 55,5% so với quý 1 năm 2024. GRIT đã theo dõi 70 nhóm ransomware hoạt động trong quý 1 năm 2025, với tốc độ tấn công trung bình là 22,9 nạn nhân mới mỗi ngày.
Các tin tặc ngày càng tinh vi và kiên trì hơn, nhắm vào các lĩnh vực trọng yếu với mức độ ngày càng nghiêm trọng. Thay vì hoạt động theo các băng nhóm lớn, các nhóm ransomware hiện đại nhỏ gọn và linh hoạt hơn, thường phối hợp qua các diễn đàn trên dark web, khiến việc truy vết trở nên khó khăn hơn. Báo cáo cũng lưu ý rằng tội phạm mạng đang sử dụng trí tuệ nhân tạo (AI) để tự động hóa các cuộc tấn công lừa đảo (phishing) và quét hệ thống tìm lỗ hổng, giúp chúng tấn công chính xác hơn.
RansomHub là nhóm ransomware hoạt động mạnh nhất trong năm 2024 và tiếp tục duy trì vị thế áp đảo trong quý I năm 2025. Tuy nhiên, có sự gia tăng rõ rệt các cuộc tấn công quy mô lớn từ những nhóm mới nổi được hình thành sau sự tan rã của các băng nhóm như LockBit và AlphV,” ông Grayson North, Chuyên gia Tư vấn An ninh Cấp cao tại GRIT, cho biết.
Điểm chung và xu hướng chính trong các cuộc tấn công ransomware
Nhắm vào các ngành trọng yếu: Ngành y tế tiếp tục nằm trong nhóm ba ngành bị tấn công nhiều nhất trong quý I năm 2025. Ba ngành bị tấn công hàng đầu bao gồm: y tế, chính phủ và dịch vụ. Đáng chú ý là lần đầu tiên trong 5 năm qua, ngành giáo dục không còn nằm trong top ba ngành bị tấn công nhiều nhất. Ba ngành bị nhắm đến nhiều nhất chiếm 47% tổng số các vụ tấn công được công bố trong quý I năm 2025.
Các nhóm tấn công ransomware ngày càng tập trung vào những ngành mà sự gián đoạn có thể gây hậu quả nghiêm trọng. Các lĩnh vực bị ảnh hưởng nặng nề nhất bao gồm y tế (Ascension Health), cơ quan chính phủ (cơ quan thuế của Tây Ban Nha), viễn thông (Salt Typhoon), và các nhà cung cấp dịch vụ điện toán đám mây (Rackspace). Đây đều là những ngành lưu trữ dữ liệu có giá trị cao và cung cấp các dịch vụ thiết yếu, khiến chúng trở thành mục tiêu hàng đầu của tội phạm mạng.
Tống tiền kép trở thành tiêu chuẩn mới: Hầu hết các nhóm ransomware lớn hiện nay đều sử dụng chiến thuật tống tiền kép (double extortion), trong đó chúng không chỉ mã hóa hệ thống mà còn đánh cắp dữ liệu nhạy cảm. Nếu nạn nhân từ chối trả tiền chuộc, kẻ tấn công sẽ đe dọa công bố dữ liệu bị đánh cắp, gia tăng áp lực buộc phải nhượng bộ. Các nhóm Medusa, Black Basta, Cl0p và Trinity đều đã sử dụng phương pháp này trong các cuộc tấn công gần đây.
Lợi dụng lỗ hổng chưa được vá và các chiến dịch lừa đảo (phishing): Những kẻ tấn công tiếp tục khai thác các lỗ hổng phần mềm chưa được vá và sử dụng email lừa đảo để xâm nhập ban đầu vào hệ thống. Các cuộc tấn công của Medusa và Black Basta đều liên quan đến lỗ hổng bảo mật chưa được khắc phục và email phishing. Những tổ chức không cập nhật bản vá kịp thời hoặc không đào tạo nhân viên về các rủi ro từ phishing vẫn là những mục tiêu dễ bị tổn thương.
Yêu cầu tiền chuộc ngày càng tăng cao: Các khoản tiền chuộc tiếp tục tăng, với một số kẻ tấn công đòi số tiền lên đến hàng chục triệu USD. Cuộc tấn công của nhóm Trinity vào cơ quan thuế của Tây Ban Nha đi kèm với yêu cầu tiền chuộc lên tới 38 triệu USD. Dù thiệt hại tài chính đầy đủ của nhiều cuộc tấn công không luôn được công bố, các nhóm ransomware đang ngày càng nhắm vào những tổ chức lớn có khả năng chi trả những khoản tiền chuộc khổng lồ.
Tăng cường tấn công vào các nhà cung cấp dịch vụ đám mây và nhà cung cấp dịch vụ công nghệ thông tin quản lý (MSPs): Các nhà cung cấp đám mây như Rackspace và các MSP đang trở thành mục tiêu chính. Khi xâm nhập thành công một nhà cung cấp đám mây hoặc MSP, kẻ tấn công có thể tiếp cận hàng loạt khách hàng phía dưới, khiến tác động lan rộng hơn nhiều. Các tổ chức phụ thuộc vào những dịch vụ này cần đảm bảo có các biện pháp bảo mật riêng vững chắc, bao gồm kiểm soát truy cập nghiêm ngặt và các giải pháp phòng ngừa hiệu quả.
Xu hướng tấn công theo địa lý: Mặc dù ransomware là một vấn đề toàn cầu, các tổ chức ở phương Tây - đặc biệt là tại Mỹ và châu Âu - vẫn là đối tượng bị tấn công nhiều nhất, do họ có nguồn lực tài chính lớn, chịu áp lực tuân thủ quy định nghiêm ngặt, và nắm giữ lượng dữ liệu có giá trị cao. Mỹ đã ghi nhận một số cuộc tấn công nghiêm trọng nhất, đặc biệt trong các lĩnh vực như y tế (Ascension Health), viễn thông (Salt Typhoon) và các nhà cung cấp dịch vụ đám mây (Rackspace).
 |
| Ảnh minh hoạ |
Tổn thất từ các cuộc tấn công ransomware: Không chỉ là tiền chuộc
Tổn thất do ransomware gây ra không chỉ dừng lại ở những khoản tiền chuộc khổng lồ mà còn thiệt hại và hủy hoại dữ liệu, tiền bị đánh cắp, thời gian ngừng hoạt động, năng suất bị mất, đánh cắp tài sản trí tuệ, đánh cắp dữ liệu cá nhân và tài chính, biển thủ, gian lận, gián đoạn hoạt động kinh doanh sau cuộc tấn công, điều tra pháp y, khôi phục và xóa dữ liệu và hệ thống bị xâm nhập, thiệt hại danh tiếng, chi phí pháp lý, và có thể là cả tiền phạt từ cơ quan quản lý.
Ransomware - loại tội phạm mạng phát triển nhanh nhất - đã 35 năm tuổi, nhưng vẫn chưa có dấu hiệu chậm lại, và theo dự báo của Cybersecurity Ventures, nó sẽ khiến các nạn nhân thiệt hại khoảng 275 tỷ USD mỗi năm vào năm 2031, với một cuộc tấn công mới xảy ra sau mỗi 2 giây khi các thủ phạm ngày càng tinh vi hóa mã độc và các hoạt động tống tiền liên quan.
Cybersecurity Ventures ước tính riêng trong năm 2025, thiệt hại gây ra từ các cuộc tấn công ransomware sẽ đạt 57 tỷ USD, tương đương: 4,8 tỷ USD mỗi tháng; 1,1 tỷ USD mỗi tuần; 156 triệu USD mỗi ngày; 6,5 triệu USD mỗi giờ; 109.000 USD mỗi phút; và 2.400 USD mỗi giây. Dự đoán đầu tiên của Cybersecurity Ventures vào năm 2015 cho thấy chi phí thiệt hại hàng năm do ransomware chỉ ở mức 325 triệu USD. Một cách khác để hình dung là: vào năm 2031, ransomware sẽ khiến thế giới thiệt hại hơn 20 tỷ USD mỗi tháng, tăng mạnh so với 20 tỷ USD mỗi năm vào năm 2021.
Theo báo cáo State of Ransomware 2024 của Sophos, khoản tiền chuộc trung bình cũng đã tăng chóng mặt so với năm trước. Việc chi trả “một khoản tiền chuộc lên đến bảy chữ số hoặc hơn” hiện đã trở thành điều bình thường. 5,13 triệu USD là chi phí trung bình của một vụ tấn công ransomware vào năm 2025, đánh dấu mức tăng 574% so với con số 761.106 USD vào năm 2019.
Adam Keown, Giám đốc An ninh Thông tin (CISO) tại công ty Eastman có trụ sở ở Kingsport, Tennessee, một công ty toàn cầu thuộc danh sách Fortune 500 chuyên về vật liệu đặc biệt, chia sẻ với Cybersecurity Ventures rằng: “Ransomware là mối quan tâm hàng đầu của tất cả các CISO tại các doanh nghiệp lớn,” và “Trí tuệ nhân tạo (AI) có tiềm năng rất lớn trong việc làm cho ransomware trở nên tinh vi hơn bằng cách tự động hóa hoặc tối ưu hóa các phương thức tấn công khác nhau.”
Ông Najaf Husain, nhà sáng lập kiêm Giám đốc điều hành của Elastio - nhà cung cấp hàng đầu về đảm bảo khả năng phục hồi sau ransomware - cho rằng: “Các lãnh đạo doanh nghiệp phải đảm bảo tổ chức của mình có khả năng phục hồi, nếu không sẽ đối mặt với những tổn thất nghiêm trọng về tài chính và uy tín”.
Tăng cường phòng thủ bằng các năng lực chống ransomware
Các cuộc tấn công ransomware giờ đây không còn là nguy cơ tiềm ẩn nữa - chúng là điều chắc chắn sẽ xảy ra đối với những doanh nghiệp không có hệ thống phòng thủ vững chắc và chủ động. Từ việc làm tê liệt cơ sở hạ tầng quan trọng cho đến đánh cắp dữ liệu khách hàng nhạy cảm, ransomware đã phát triển thành một mối đe dọa mang tính sống còn, đòi hỏi một cách tiếp cận toàn diện và tiên tiến hơn đối với an ninh mạng.
Mặc dù có nhiều giải pháp tuyên bố có thể bảo vệ khỏi ransomware, phần lớn vẫn dựa vào các phương pháp lỗi thời, mang tính phản ứng, khiến các doanh nghiệp dễ bị tổn thương trước các mối đe dọa zero-day, tấn công không sử dụng tập tin (fileless attacks) và các kỹ thuật ransomware ngày càng tinh vi.
Các tổ chức hiện nay thường chỉ dựa vào một giải pháp duy nhất để bảo vệ trước các cuộc tấn công mã độc, bao gồm ransomware. Tuy nhiên, khi các nhóm ransomware ngày càng trở nên tinh vi và nhắm mục tiêu cụ thể hơn, cách tiếp cận phòng thủ nhiều lớp (defense in depth), kết hợp với một giải pháp chống ransomware chuyên biệt, có thể giúp củng cố hệ thống an ninh mạng toàn diện hơn.
Nguyễn Yến (tổng hợp)
Bình luận