Ảnh minh họa. Riskonnect

Tấn công ransomware hiện được xem là một trong những hình thức tội phạm mạng tàn khốc nhất. Tin tặc thường sử dụng chiến thuật kép: đánh cắp dữ liệu và sử dụng phần mềm độc hại để khóa tệp hoặc toàn bộ hệ thống của nạn nhân, sau đó yêu cầu khoản tiền lớn để đổi lấy khóa giải mã và đe dọa công bố dữ liệu nếu không trả tiền.

Sự xuất hiện của mô hình “Ransomware-as-a-Service” (RaaS), khi các nhóm phát triển mã độc cho thuê công cụ tấn công cho các nhóm tin tặc khác khiến mối đe dọa càng lan rộng hơn. RaaS giúp tin tặc ít kỹ năng cũng có thể thực hiện những vụ tấn công trên toàn cầu.

7 nhóm tội phạm mạng ransomware đang hoạt động mạnh và gây chú ý nhất hiện nay:

1. LockBit.  Ra đời từ năm 2019, LockBit được xem là “ông trùm” ransomware với hàng trăm vụ tấn công trên toàn cầu. Nhóm hoạt động theo mô hình RaaS, cho thuê công cụ mã hóa cho các nhóm khác để tấn công và chia lợi nhuận.

LockBit thường đánh cắp dữ liệu trước khi mã hóa, rồi đe dọa công bố nếu nạn nhân không trả tiền.

Vụ việc đáng chú ý: Nhóm từng tấn công công ty dịch vụ CNTT Sopra Steria (Pháp), gây gián đoạn lớn, và gần đây bị cáo buộc nhắm vào Cơ quan Tài chính bang Colorado (Mỹ).

2. Conti.  Xuất hiện năm 2020, Conti nổi tiếng với tốc độ mã hóa cực nhanh và mức độ tàn phá dữ liệu cao. Nhóm từng công khai dữ liệu của nạn nhân lên mạng để tăng áp lực đòi tiền chuộc, được coi là một trong những băng nhóm ransomware tiên tiến và nguy hiểm nhất đang hoạt động hiện nay

Năm 2021, Conti tấn công Hệ thống y tế quốc gia Ireland, khiến hàng loạt bệnh viện tê liệt, buộc chính phủ phải tạm ngừng nhiều dịch vụ khám chữa bệnh.

3. REvil (Sodinokibi). Nhóm REvil là một trong những nhóm khét tiếng nhất với vụ tấn công chuỗi cung ứng Kaseya (2021), ảnh hưởng hơn 1.500 doanh nghiệp và đòi tiền chuộc 70 triệu USD - mức cao kỷ lục thời điểm đó.

Nhóm chủ yếu dựa vào các chiến thuật tống tiền kép. Nhóm này đặc biệt hung hăng khi nhắm vào các tập đoàn lớn và các tổ chức có uy tín, bao gồm các công ty dịch vụ đời sống và công nghệ. Nhóm này thường đòi những khoản tiền chuộc khổng lồ, đôi khi lên tới hàng chục triệu đô la.

Dù một số thành viên bị bắt, REvil vẫn được cho là đã “tái sinh” qua các nhóm nhỏ khác.

4. DarkSide. Năm 2021, nhóm DarkSide đã khiến cả thế giới chú ý khi tấn công đường ống dẫn dầu Colonial Pipeline (Mỹ), buộc công ty phải dừng hoạt động và trả 4,4 triệu USD tiền chuộc.

Sự cố khiến nguồn cung nhiên liệu tại bờ Đông nước Mỹ gián đoạn nghiêm trọng, cho thấy mức độ ảnh hưởng của ransomware không còn giới hạn trong không gian mạng.

Sau vụ việc, nhóm bị truy quét gắt gao và đổi tên thành BlackMatter, song vẫn hoạt động với phương thức tương tự.

5. Clop. Nhóm Clop nổi tiếng với thủ đoạn khai thác các lỗ hổng trong hệ thống truyền tệp như MOVEit Transfer và GoAnywhere MFT để xâm nhập, đánh cắp dữ liệu quy mô lớn.

Năm 2023, nhóm tấn công nền tảng MOVEit, khiến hàng trăm doanh nghiệp và cơ quan chính phủ tại Mỹ, Anh và Canada bị rò rỉ dữ liệu nhạy cảm.

Clop hiện vẫn nằm trong nhóm hoạt động mạnh nhất nửa đầu 2025 với các vụ tấn công chủ yếu nhắm vào khu vực tài chính và giáo dục.

6. Hive.  Nhóm Hive tập trung vào lĩnh vực y tế, phi lợi nhuận và giáo dục, khu vực có dữ liệu bệnh nhân và thông tin cá nhân vô cùng giá trị. Cuối năm 2021, Hive đã phát động một cuộc tấn công lớn vào MedStar Health, nhà cung cấp dịch vụ chăm sóc sức khỏe lớn tại Hoa Kỳ

Theo FBI, Hive đã tấn công hơn 1.500 tổ chức tại 80 quốc gia, thu về hơn 100 triệu USD tiền chuộc.

Đầu 2023, Bộ Tư pháp Mỹ phối hợp với các lực lượng chức năng quốc tế triệt phá hạ tầng của Hive, nhưng các nhóm “hậu duệ” vẫn tiếp tục hoạt động tích cực.

7. BlackCat (ALPHV). Nhóm BlackCat nổi tiếng với việc sử dụng ngôn ngữ lập trình Rust trong phần mềm ransomware với khả năng vượt qua nhiều biện pháp phát hiện truyền thống. Nhóm thường tấn công vào các tổ chức tài chính, năng lượng và công nghệ nhằm đòi hỏi mức trả tiền chuộc cao.

Đầu 2025, BlackCat bị cáo buộc đứng sau các vụ tấn công vào Prudential (Mỹ) và ngân hàng Monzo (Anh), khiến hàng trăm nghìn dữ liệu khách hàng bị rò rỉ.

Theo các hãng an ninh mạng quốc tế, số vụ tấn công ransomware vẫn đang tăng mạnh với thiệt hại trung bình hàng triệu USD mỗi vụ. Dữ liệu bị đánh cắp không chỉ gây tổn thất tài chính mà còn đe dọa uy tín và hoạt động dài hạn của tổ chức.

Không có khu vực an toàn nào đối với ransomwar, do đó, chủ động phòng ngừa luôn là phương pháp hiệu quả nhất đối với mọi tổ chức, doanh nghiệp. Sao lưu dữ liệu định kỳ, lưu dữ liệu ngoài hệ thống mạng, cập nhật bản vá bảo mật và đào tạo nhân viên nhận diện email giả mạo là những biện pháp tự vệ hiệu quả trong kỷ nguyên số.  

An Lâm (Theo Cybersecurity Insiders)