Kỷ nguyên tống tiền có hệ thống

Mã độc tống tiền (ransomware) được dự báo sẽ vượt xa mô hình mã hóa dữ liệu đơn thuần. Các chiến dịch hiện nay vận hành như những tổ chức có cấu trúc, với quy trình trinh sát, lựa chọn mục tiêu và gây sức ép được tính toán kỹ lưỡng. Vụ tấn công AIIMS năm 2022 cho thấy xu hướng này hình thành từ sớm, khi kẻ tấn công dành nhiều tuần xác định dữ liệu có giá trị và hệ thống then chốt trước khi ra tay. Chiến thuật “tống tiền kép” - vừa đánh cắp dữ liệu, vừa mã hóa đến năm 2025 đã trở thành thông lệ.

Dự báo mã độc tống tiền (ransomware) năm 2026 sẽ vượt xa mô hình mã hóa dữ liệu đơn thuần

Bước sang năm 2026, toàn bộ quy trình đó được tự động hóa. AI hỗ trợ xác định dữ liệu có giá trị, ước tính mức tiền chuộc, đàm phán theo thời gian thực và tự động công bố dữ liệu nếu nạn nhân không thanh toán. Ransomware cũng lan truyền theo chuỗi cung ứng, tấn công các tổ chức có kết nối chặt chẽ với nhau - từ nhà sản xuất sang nhà cung cấp, khách hàng hoặc theo chiều ngược lại. Nghĩa là, ransomware được vận hành như một mô hình kinh doanh.

Ngành dược phẩm là ví dụ rõ nét. Khi các hệ thống ERP tích hợp bị xâm nhập, gián đoạn không dừng ở một doanh nghiệp mà lan sang nhà phân phối, đối tác logistics và cuối cùng ảnh hưởng trực tiếp đến nguồn cung thuốc thiết yếu. Riêng tại Ấn Độ, số vụ ransomware trong năm 2024 tăng 55%, với các doanh nghiệp dược nằm trong nhóm mục tiêu chính.

Dù các biện pháp phòng thủ giúp giảm tỷ lệ tấn công thành công, kẻ tấn công vẫn liên tục đổi mới: nhắm vào hệ thống sao lưu, âm thầm làm sai lệch dữ liệu trước khi mã hóa, hoặc giữ hệ thống làm con tin bằng đe dọa công bố thông tin nhạy cảm.

Đáng chú ý, năm 2026 xuất hiện một kịch bản mới: ransomware xâm nhập thông qua bộ định tuyến gia đình bị chiếm quyền của nhân viên làm việc từ xa, thiết lập quyền truy cập bền vững trước khi doanh nghiệp nhận ra hệ thống đã bị thâm nhập. Khi quá trình mã hóa bắt đầu, kẻ tấn công đã có đủ thời gian để lập bản đồ mạng, xác định vị trí sao lưu và tối ưu hóa mức độ thiệt hại.

APT: Khi tấn công có chủ đích được nhân rộng

Trước đây, các mối đe dọa dai dẳng nâng cao (APT) gần như chỉ thuộc về các quốc gia, đòi hỏi nhiều tháng trinh sát, phần mềm độc hại tùy biến và kỷ luật vận hành chặt chẽ. Nhưng nay AI đang làm thay đổi căn bản mô hình này. Khi các công việc tốn nhiều công sức được tự động hóa, những kẻ tấn công lành nghề có thể tập trung vào các mục tiêu giá trị cao thay vì chỉ phát triển mã độc tinh vi hơn.

Nhờ đó, các nhóm APT có thể triển khai đồng thời nhiều chiến dịch. Những gì một nhóm có thể thực hiện vào năm 2023 thì với sự hỗ trợ của AI, đến năm 2026 có thể được nhân lên gấp nhiều lần. Là một trung tâm CNTT lớn đang số hóa nhanh, Ấn Độ trở thành mục tiêu tình báo hấp dẫn, từ các cơ quan quốc phòng, doanh nghiệp nhà nước đến hạ tầng trọng yếu. Các công ty CNTT Ấn Độ cũng vô tình trở thành điểm trung chuyển, cung cấp cho tác nhân đe dọa quyền tiếp cận thông tin của khách hàng phương Tây.

Thách thức cốt lõi của APT hiện đại nằm ở tốc độ. Nhiều chiến dịch đạt được mục tiêu đánh cắp tài sản trí tuệ, cài đặt cửa hậu hoặc thu thập thông tin tình báo… chỉ trong vòng 48–72 giờ sau khi xâm nhập ban đầu, vượt xa khả năng phản ứng của các cơ chế phát hiện truyền thống.

Cùng với đó, vectơ tấn công cũng thay đổi. Thay vì khai thác các lỗ hổng chu vi phức tạp, chúng nhắm vào bộ định tuyến gia đình của nhân viên, thu thập thông tin xác thực trước khi kết nối VPN được thiết lập, hoặc xâm nhập trực tiếp thiết bị đầu cuối. Trong kịch bản này, các kết nối VPN hợp pháp vô tình trở thành công cụ để tấn công mạng nội bộ.

AI và mối đe dọa nội bộ mới

Năm 2025, một kịch bản đã lặp lại tại nhiều doanh nghiệp Ấn Độ: nhân viên sử dụng ChatGPT để hỗ trợ viết phân tích cạnh tranh và vô tình dán vào đó các tài liệu nội bộ mật, từ nghiên cứu thị trường, thông tin đối thủ đến kế hoạch chiến lược. Những dữ liệu này, một khi đã được đưa vào công cụ AI công cộng, có nguy cơ bị khai thác nếu được truy vấn đúng cách.

Thách thức này sẽ gia tăng trong năm 2026 khi các công cụ AI được tích hợp sâu vào quy trình làm việc hằng ngày như trợ lý văn phòng, nền tảng cộng tác hay hệ thống quản trị khách hàng. Các công cụ này giúp tăng năng suất rõ rệt, nhưng đồng thời cũng mở ra những kênh rò rỉ dữ liệu mới nếu không được kiểm soát chặt chẽ.

Vụ rò rỉ mã nguồn trong lĩnh vực bán dẫn của Samsung là một ví dụ điển hình. Các kỹ sư đã sử dụng ChatGPT để hỗ trợ gỡ lỗi và tối ưu hiệu năng, đồng thời dán vào đó mã nguồn độc quyền. Samsung giờ đây phải đối mặt với vấn đề rò rỉ sở hữu trí tuệ nghiêm trọng. Họ không cấm ChatGPT, thay vào đó, họ triển khai các biện pháp kiểm soát để đảm bảo rằng nhân viên chỉ có thể sử dụng các công cụ AI do công ty quản lý với các chính sách xử lý dữ liệu phù hợp.

Đây chính là bài toán an ninh doanh nghiệp năm 2026: làm sao khai thác lợi ích của AI mà không tạo ra các rủi ro rò rỉ dữ liệu cũng do AI vận hành. Điều đó đòi hỏi doanh nghiệp phải:  Hiểu rõ nhân viên thực sự đang dùng những công cụ AI nào; Triển khai kiểm soát để “dẫn luồng” việc sử dụng AI vào các môi trường được quản lý; Đào tạo nhân viên nhận diện dữ liệu nhạy cảm; Chấp nhận rằng không thể ngăn AI, chỉ có thể quản trị nó; Bảo mật mạng gia đình của lực lượng lao động từ xa.

Quản lý lỗ hổng trong kỷ nguyên tự động hóa

Các lỗ hổng phần mềm không phải là điều mới. Điểm khác biệt của năm 2026 nằm ở tốc độ: tốc độ phát hiện, công bố và khai thác đang vượt xa khả năng phản ứng truyền thống của doanh nghiệp. Nhờ các công cụ kiểm thử tự động dựa trên AI, lỗ hổng được phát hiện nhanh hơn con người có thể vá. Các công cụ tấn công cũng được phát triển và triển khai chỉ trong vài giờ sau khi thông tin lỗ hổng được công bố. Chu kỳ vá vốn kéo dài hàng tuần nay bị nén xuống còn vài ngày, thậm chí vài giờ đối với các lỗ hổng nghiêm trọng.

Một doanh nghiệp hiện đại vận hành trên các hệ thống chồng chéo: hệ điều hành, phần mềm thương mại, thư viện mã nguồn mở, mã tùy chỉnh, thiết bị IoT và cả hạ tầng mạng gia đình của nhân viên làm việc từ xa. Mỗi thành phần đều có lỗ hổng, mỗi nhà cung cấp vá lỗi theo nhịp khác nhau, và chính độ trễ trong kiểm thử bản vá đã tạo ra khoảng trống cho kẻ tấn công.

Quá trình số hóa nhanh tại Ấn Độ càng làm bài toán phức tạp. Từ trạm y tế nông thôn đến các dự án thành phố thông minh quy mô nhỏ, nhiều hệ thống được triển khai nhưng không được quản lý vá lỗi đầy đủ, trở thành bàn đạp để kẻ tấn công thiết lập sự hiện diện trong mạng lưới chính phủ.

Trong bối cảnh đó, giải pháp không chỉ là vá nhanh hơn, dù điều này vẫn cần thiết, mà là chấp nhận thực tế rằng không một hệ thống nào có thể được vá hoàn toàn. An ninh mạng năm 2026 đòi hỏi tư duy xây dựng khả năng chống chịu, bao gồm:Phân đoạn vi mô để hạn chế lan truyền xâm nhập; Giám sát hành vi nhằm phát hiện sớm nỗ lực khai thác; Phản ứng tự động để cô lập mối đe dọa trước khi lan rộng; Chuẩn bị kịch bản cho việc một số hệ thống sẽ bị xâm nhập; Nhận thức rằng lỗ hổng tồn tại ở mọi thiết bị kết nối mạng, kể cả bộ định tuyến gia đình của nhân viên làm việc từ xa

Và chính tại đây, AI tạo ra một động lực mới. Kẻ tấn công có thể phát hiện, khai thác và vũ khí hóa lỗ hổng nhanh hơn cả khi bên phòng thủ kịp lập danh mục. Cuộc đua an ninh mạng không còn đơn thuần là giữa vá lỗi và khai thác, mà là cuộc đối đầu giữa các hệ thống tự động ở cả hai phía - trong đó kẻ tấn công không bị ràng buộc bởi bất kỳ quy trình kiểm soát thay đổi nào.

Huyền Chi