Lỗ hổng bảo mật mới tăng mạnh, tới 17% so với cùng kỳ năm 2024. Trên toàn cầu, chi phí thiệt hại do tội phạm mạng năm 2025 được dự báo đạt 10,5 nghìn tỷ USD tăng từ 9,5 nghìn tỷ USD trong năm 2024. Ransomware tiếp tục là mối đe dọa hàng đầu, với 59% tổ chức bị ảnh hưởng trong năm 2024 và dự kiến tăng trong năm 2025. Các cuộc tấn công phishing tăng 341% trong 6 tháng qua, phần lớn nhờ sự hỗ trợ của công nghệ AI và GenAI.

Trong 6 tháng đầu năm 2025, Việt Nam ghi nhận tình hình an ninh mạng nghiêm trọng hơn so với năm 2024, với 155 triệu bản ghi dữ liệu bị rò rỉ và 4,5 triệu tài khoản bị lộ lọt - chiếm 12,6% toàn cầu, tăng 21,4% so với cùng kỳ. Các cuộc tấn công ransomware gây thiệt hại hơn 10 triệu USD, với hơn 3 Terabyte dữ liệu bị mã hóa, tăng 15% so với cùng kỳ năm 2024. Các lĩnh vực tài chính-ngân hàng, viễn thông, công nghệ và dịch vụ công là mục tiêu chính.

Theo báo cáo, với sự gia tăng của các cuộc tấn công tinh vi và có mục tiêu, đặc biệt trong lĩnh vực viễn thông, chiếm 47% là các hoạt động của các chiến dịch tấn công có chủ đích APT. Các nhóm APT liên quan đến Trung Quốc (APT40, Mustang Panda), Nga (Sandworm, APT29) thống trị các chiến dịch toàn cầu.

Tấn công mã hoá dữ liệu (Ransomware)

Theo Group-IB, số lượng chiến dịch tấn công ransomware trên thế giới tăng 40% chỉ riêng trong tháng 2 năm 2025, về tổng thể tăng 15% so với cùng kỳ năm 2024. Tổng cộng, hơn 3 Terabyte dữ liệu bị mã hóa, gây thiệt hại hơn 10 triệu USD. Báo cáo cũng chỉ ra, Việt Nam đang là một trong 10 quốc gia bị tấn công ransomware nhiều nhất thế giới. Số lượng chiến dịch ransomware trong 6 tháng đầu năm 2025 tại Việt Nam tăng lên do mức độ tinh vi tăng mạnh, nhờ AI và kỹ thuật như DLL-Sideloading. Các nhóm LockBit và ALPH/BlackCat ghi nhận nhiều hoạt động tấn công trong năm 2024, trong khi các tháng đầu năm 2025 ghi nhận sự nổi lên của nhóm RansomHub và Qilin.

Các tổ chức lớn thường phải đối mặt với rủi ro cao hơn do quy mô hệ thống phức tạp, dẫn đến việc dễ bị khai thác lỗ hổng và trở thành mục tiêu hấp dẫn cho các nhóm ransomware tinh vi. Các ngành tài chính, Công nghệ, Dịch vụ công và Chăm sóc sức khỏe là mục tiêu bị nhắm đến hàng đầu vì đặc thù lưu trữ dữ liệu nhạy cảm, có giá trị cao và ảnh hưởng lớn đến xã hội nếu bị gián đoạn. Top 4 lĩnh vực bị tấn công nhiều nhất trong 6 tháng đầu năm 2025 được ghi nhận bởi VNPT Cyber Immunity:Sản xuất - Công nghiệp (34%); Viễn thông - Dịch vụ công (25%); Y tế (30%) và Tài chính ngân hàng (40%).

Theo đánh giá từ VNPT CTIP (VNPT Cyber Threat Intelligence Platform - nền tảng thám báo dữ liệu an ninh mạng - do VCI tự phát triển), hơn 70% các cuộc tấn công vào các hệ thống tổ chức doanh nghiệp thông qua con đường sử dụng tài khoản hệ thống. Các tài khoản có thể do tin tặc bruteforce thông qua các tài khoản bị lộ lọt bằng mã độc có chức năng thu thập thông tin người dùng hoặc các vụ xâm nhập hệ thống và đánh cắp, phát tán thông tin nhạy cảm trên các hệ thống này.

Dữ liệu thông tin nhạy cảm

Việt Nam ghi nhận 155 triệu bản ghi và 24,65GB dữ liệu bị rao bán trong đầu năm 2025, với 4,5 triệu tài khoản lộ lọt chiếm 12,6% toàn cầu. Số lượng tài khoản lộ lọt trong 6 tháng đầu năm 2025 giảm so với cả năm 2024, nhưng các dữ liệu nhạy cảm hơn như email, SSO, VPN. Mã độc sử dụng AI trong năm 2025 hiệu quả hơn so với năm 2024, làm tăng số vụ rao bán dữ liệu trên dark web. Các mã độc này không chỉ đánh cắp dữ liệu mà còn tối ưu hóa quá trình phân tích và khai thác, làm tăng tốc độ lan rộng và giá trị kinh tế của dữ liệu bị đánh cắp.

Việt Nam đứng thứ hai khu vực APAC về dữ liệu bị xâm phạm (14,3%) sau Ấn Độ (22%). Các nhóm APT như APT41 (Trung Quốc) sử dụng các lỗ hổng zero-day để đánh cắp dữ liệu nhạy cảm, với hoạt động tăng 113% trong 6 tháng đầu năm 2025. Mô hình Stealer-as-a-Service như VietCredCare tấn công 9 cơ quan chính phủ, 65 trường đại học và 21 ngân hàng. Sự gia tăng của Stealer-as-a-Service là mối đe dọa lớn, đặc biệt với các cơ quan chính phủ.

Các mẫu mã độc này khi tấn công thành công máy người dùng thông qua việc cài đặt, sử dụng các phần mềm, tập tin không rõ nguồn gốc (cho con cái, người khác mượn máy tính hoặc chính bản thân chúng ta) thì mã độc sẽ thu thập toàn bộ thông tin nhạy cảm của các trình duyệt đang cài đặt trên máy người dùng như Chrome, Microsoft Edge, FireFox,… và đánh cắp username, passwords cùng cookie được lưu trên trình duyệt. Việc đặt mật khẩu phức tạp trong trường hợp này hầu như là vô tác dụng.

Khuyến nghị được đưa ra từ báo cáo đó là, hạn chế sử dụng tính năng lưu mật khẩu trên trình duyệt để giảm thiểu rủi ro bị lộ lọt thông tin. Đổi mật khẩu thường xuyên cũng như thực hiện bổ sung và sử dụng các giải pháp xác thực đa yếu tố cho các tài khoản đăng nhập (Multi-Factor Authentication - MFA); Rà soát, kiểm tra máy tính hoặc các nguồn lây nghi ngờ; Tuyên truyền, nâng cao nhận thức ATTT cho cộng đồng, người thân và chính bản thân chúng ta; Theo dõi, cập nhật các thông tin nếu có về lộ lọt dữ liệu từ các nguồn tin hoặc giải pháp ATTT nhằm phản ứng nhanh trước khi các dữ liệu bị khai thác, phát tán rộng rãi.

Lừa đảo trực tuyến

6 tháng đầu năm 2025 ghi nhận 911 tên miền lừa đảo và 746 trang giả mạo trong quý 1/2025, với số trang giả mạo tăng 82,8% so với năm 2024. Tại Việt Nam, số tên miền lừa đảo giảm 28,8% nhưng số trang giả mạo tăng mạnh do lạm dụng thương hiệu. Thiệt hại từ lừa đảo ước tính 2 triệu USD trong năm 2024, tăng lên 3 triệu USD trong 6 tháng đầu năm 2025. Deepfake và AI làm tăng mức độ tinh vi so với năm 2024, khi các chiến dịch chủ yếu dựa vào email và website giả mạo đơn giản.

Lỗ hổng bảo mật

Trong 6 tháng đầu năm 2025, số lượng lỗ hổng mới ghi nhận trên thế giới đã tăng mạnh, tăng 20,48% so với cùng kỳ năm 2024. Số lượng lỗ hổng mới gia tăng theo từng năm cho thấy xu hướng phát triển nhanh chóng của công nghệ và sự mở rộng của bề mặt tấn công từ các sản phẩm trong môi trường doanh nghiệp.

Theo đánh giá từ VNPT CTIP, trung bình từ đầu năm 2025 mỗi ngày có hơn 110 lỗ hổng mới. Trong bối cảnh các lỗ hổng đang gia tăng mạnh mẽ, đòi hỏi sự phản ứng của các tổ chức trước các cuộc tấn công phải cực kỳ nhanh chóng. Các sản phẩm có lỗ hổng nghiêm trọng được sử dụng nhiều tại Việt Nam bao gồm các sản phẩm của Palo Alto, Ivanti, phần mềm quản trị Fortinet.

Các lỗ hổng được nhận thấy xuất hiện nhiều trên các hạ tầng là các loại lỗ hổng Broken Access Control (BAC), Security Misconfiguration tiêu biểu như CVE-2024-7097, CVE-2025-31489, CVE-2024-3656,…Các tổ chức và doanh nghiệp thường xử lý và vá các lỗ hổng này trong khoảng 5 ngày. Tuy nhiên, trong nhiều trường hợp, việc giám sát và cập nhật thông tin lỗ hổng ngay khi chúng xuất hiện trên không gian mạng là rất cần thiết. Theo thống kê từ VNPT-CTIP, thời gian trung bình để các lỗ hổng bị tin tặc lợi dụng trong các chiến dịch tấn công (vũ khí hóa) là khoảng 8 ngày, trong khi đó, các cuộc rà quét thường diễn ra chỉ trong vòng 4 giờ kể từ khi mã khai thác PoC (Proof of Concept) được công khai trên không gian mạng.

Tình hình tấn công mạng

Trong 6 tháng đầu năm 2025, số lượng các cuộc tấn công mạng tăng 45% so với cùng kỳ năm 2024. Theo Trellix Report 2025, các cuộc tấn công mạng hiện nay sử dụng các kỹ thuật hiện đại, tinh vi và có mục tiêu hơn, phạm vi chiến dịch hoạt động rộng hơn, với sự gia tăng của ransomware-as-a-service (RaaS), APT và lừa đảo sử dụng AI. Chi phí thiệt hại do tội phạm mạng dự kiến đạt 10,5 tỷ USD, tăng từ 9,5 tỷ USD năm 2024.

Tại Việt Nam, các cuộc tấn công mạng không chỉ nhắm đến doanh nghiệp mà còn hướng vào các hệ thống thiết yếu của quốc gia, bao gồm ngành ngân hàng, tài chính, các tổ chức nhà nước và thậm chí là hệ thống của các cơ quan truyền thông, báo chí. Theo Trellix, Việt Nam là một trong 10 quốc gia bị tấn công mạng nhiều nhất trên thế giới trong 6 tháng đầu năm 2025.

Số lượng các cuộc tấn công nhằm vào các hạ tầng hệ thống của các doanh nghiệp tổ chức luôn cực kỳ lớn, là thách thức không nhỏ đối với hệ thống phòng thủ an toàn bảo mật. Trước những cuộc tấn công lớn, tin tặc luôn tìm cách thăm dò, khai thác và rà quét trước hệ thống mục tiêu với số lượng gia tăng đáng kể.

Trong các cuộc tấn công này, VNPT ghi nhận có tới hơn 5% là các sự cố mức CAO và NGHIÊM TRỌNG có thể ảnh hưởng trực tiếp tới các hệ thống bị tấn công.

Doanh nghiệp, tổ chức cần sớm củng cố lá chắn an toàn thông tin

Theo thống kê từ VNPT CTIP số lượng lỗ hổng bảo mật trên các thiết bị OT/ICS gia tăng 20,48% so với năm 2024 với lỗi cấu hình là chủ yếu. Cũng theo THALES, 62% vụ xâm phạm dữ liệu do cấu hình sai. Vì vậy, đây có thể là một “mỏ vàng” mới mà tin tặc có thể nhắm đến, nhất là với sự đáp ứng của các giải pháp, an toàn bảo mật dành cho các thiết bị này còn đang rất hạn chế.

Sự phát triển của các mã độc tống tiền dạng RaaS khiến tấn công mã hóa dữ liệu vào doanh nghiệp ngày càng phức tạp và gia tăng, đặc biệt tại Việt Nam. Việc sử dụng dịch vụ đám mây tăng mạnh kéo theo rủi ro bị tấn công nhắm vào nền tảng và dữ liệu lưu trữ, đòi hỏi các tổ chức tập trung hơn vào bảo vệ hạ tầng cloud.

Cuộc đua AI/ML toàn cầu, trong đó Việt Nam cũng tham gia, đang đối mặt với nguy cơ tấn công vào dữ liệu huấn luyện – có thể gây ra hậu quả nghiêm trọng. Sự mở rộng của mạng 5G cũng kéo theo các mối đe dọa liên quan đến hạ tầng và giao thức kết nối.

Bảo vệ dữ liệu và quyền riêng tư tiếp tục là thách thức lớn đối với cả cơ quan quản lý lẫn các giải pháp an ninh, khi tin tặc đang khai thác các điểm yếu của hệ thống bảo mật truyền thống. Trước những biến động khó lường của tình hình tấn công mạng cũng như sự phát triển của khoa học công nghệ đòi hỏi các tổ chức, doanh nghiệp luôn phải có những chuẩn bị sẵn sàng cho việc đảm bảo an toàn thông tin của tổ chức.

Áp dụng mô hình bảo mật Zero Trust

Nhằm đảm bảo rằng mọi truy cập, dù đến từ trong hay ngoài hệ thống, đều phải được xác thực, kiểm tra và cấp quyền tối thiểu cần thiết. Điều này giúp giảm thiểu nguy cơ từ các cuộc tấn công nội bộ cũng như các hành vi truy cập trái phép.

Sử dụng giải pháp an toàn bảo mật thông minh tích hợp AI và Big Data

Để tự động phát hiện, phân tích hành vi bất thường, nhận diện mã độc có khả năng ẩn mình hoặc né tránh các giải pháp chống virus truyền thống (AV). Ngoài ra, hệ thống có thể tự động phân loại và cảnh báo các thông tin liên quan đến an toàn thông tin (ATTT), hỗ trợ xử lý sự cố nhanh chóng, chính xác và hiệu quả.

Tham gia các liên minh và hiệp hội an toàn thông tin trong nước và quốc tế

Để nâng cao năng lực ứng phó sự cố và cập nhật các xu hướng, kỹ thuật tấn công mới nhất. Đồng thời, thường xuyên tổ chức hoặc tham gia các chương trình huấn luyện, diễn tập thực chiến (Red Team/Blue Team), xây dựng các kênh kết nối và phối hợp chặt chẽ với các đơn vị cung cấp dịch vụ an ninh mạng, trung tâm giám sát ATTT (SOC), CERT và các tổ chức chuyên môn khác.

Phạm Lê