Ảnh minh họa. Ảnh Shutterstock

Bức tranh mối đe dọa an ninh mạng được dự báo sẽ thay đổi trong năm 2026 khi các tin tặc bắt đầu tận dụng trí tuệ nhân tạo (AI), khai thác điểm yếu trong quản lý phần mềm nguồn mở và triển khai các chiến thuật vận hành khác biệt. Những xu hướng này xuất phát từ các diễn biến đã quan sát được trong năm 2025, bao gồm sự tiến hóa của phương thức xâm nhập của các nhóm hackers được nhà nước hậu thuẫn và thủ đoạn tấn công nhằm mục đích tống tiền của các nhóm tin tặc.

Vũ khí hóa công nghệ AI

Một số công cụ trí tuệ nhân tạo, ban đầu được phát triển cho kiểm thử xâm nhập (pen-testing), dự kiến sẽ trở nên phổ biến trên các diễn đàn tội phạm mạng trong năm tới. Các phiên bản bẻ khóa của những công cụ bảo mật AI này sẽ cho phép tin tặc phát hiện và khai thác lỗ hổng với tốc độ chưa từng có.

Trong năm qua, các công cụ kiểm thử xâm nhập dựa trên AI đã thu hút sự chú ý, khi các tổ chức tìm cách bảo vệ các hệ thống phức tạp. Những công cụ này đã chứng minh khả năng vượt trội so với chuyên gia con người trong việc nhận diện điểm yếu, điển hình là công cụ Xbow, vượt trội trên các nền tảng bug bounty lớn và phát hiện lỗ hổng mới.

Đồng thời, các diễn đàn trực tuyến cho thấy tội phạm mạng đã bắt đầu tuyển dụng lập trình viên để phát triển công cụ AI bất hợp pháp. Tiền lệ từ Cobalt Strike bị lạm dụng rộng rãi sau khi xuất hiện dưới dạng bẻ khóa ch thấy một xu hướng tương tự cho những sản phẩm AI trong tương lai.

Khi những công cụ tiên tiến này trở nên dễ tiếp cận, các cuộc tấn công có thể diễn ra nhanh chóng, cho phép tin tặc chuyển từ xâm nhập ban đầu sang triển khai ransomware chỉ trong vài phút. Tình huống công nghệ này trở nên phổ biến có thể làm tăng cả trình độ và số lượng kẻ tấn công mà các cơ quan an ninh phải đối mặt.

Rủi ro từ các phần mềm nguồn mở

An ninh của phần mềm nguồn mở trở thành mối quan ngại nổi bật trong năm 2025, khi các gói phần mềm và người quản lý quan trọng bị nhắm mục tiêu bởi tội phạm mạng. Trong gần 12 triệu dự án nguồn mở, hơn một nửa được quản lý bởi một tình nguyện viên duy nhất, tạo ra rủi ro nghiêm trọng. Nếu kẻ tấn công xâm nhập vào những cá nhân này, các tổ chức có thể vô tình tích hợp mã độc vào ứng dụng của mình thông qua các bản cập nhật phần mềm đáng tin cậy.

Các sự cố nổi bật năm 2025 cho thấy những người quản lý với lượng người dùng lớn đã trở thành nạn nhân của các chiến dịch lừa đảo, cho phép tội phạm đăng tải mã độc lên các kho lưu trữ được sử dụng rộng rãi. Các pipeline (đường ống) cập nhật phần mềm tự động sau đó có thể kéo các gói bị đã bị xâm phạm, cho phép tin tặc thu thập thông tin nhạy cảm, cài mã độc “malware” hoặc gây gián đoạn hoạt động kinh doanh của nhiều tổ chức cùng lúc.

Xu hướng này dự kiến sẽ gia tăng, khi các nhóm tội phạm vì lợi nhuận nhắm trực tiếp vào người quản lý kho lưu trữ. Thay vì bán thông tin đăng nhập đánh cắp, các nhóm này có thể dùng quyền truy cập để phân phối malware trên quy mô lớn, kiếm lợi từ các tài khoản bị xâm nhập thông qua trộm dữ liệu và tống tiền. Một sự cố có thể ảnh hưởng đến hàng trăm ứng dụng và hàng triệu người dùng.

Chiến thuật “gây tiếng vang” và tàng hình

Chiến lược vận hành giữa các nhóm ransomware và kẻ tấn công vì lợi ích tài chính dự kiến sẽ phân hóa rõ rệt hơn trong năm tới. Các nhóm mới nổi có khả năng ưa thích các chiến thuật công khai, gây tiếng vang để nhanh chóng xây dựng danh tiếng và thu hút cộng tác viên.

Ngược lại, các nhóm đã thiết lập trước đó có thể sẽ hoạt động thầm lặng, ưu tiên duy trì lâu dài và giảm thiểu nguy cơ can thiệp từ cơ quan thực thi pháp luật.

Năm 2025, các nhóm như DragonForce minh chứng cho cách tiếp cận công khai, hung hăng, mở rộng nhanh chóng bằng cách công bố hoạt động và tuyển dụng rộng rãi. Khối lượng chiến dịch của họ trong một quý tăng từ 26 lên 57 nạn nhân. Tuy nhiên, chiến thuật này cũng tiềm ẩn rủi ro, khi các nhóm phải đối mặt với hành động pháp lý nhanh chóng sau các vụ vi phạm và chiến dịch tống tiền gây tiếng vang. Trong khi đó, những nhóm lâu năm như Qilin và Akira duy trì hồ sơ thấp, tránh tranh cãi trực tuyến và tương tác công khai, nhưng vẫn đứng trong top các nhóm ransomware hàng đầu.

Các nhà nghiên cứu an ninh mạng của ReliaQuest dự đoán sự phân hóa này sẽ ngày càng rõ rệt vào 2026. Các nhóm mới nổi sẽ coi ‘tiếng ồn vũ khí hóa’ là yếu tố thiết yếu để nhanh chóng xây dựng uy tín trong thị trường đông đúc, chấp nhận rủi ro pháp lý để đạt được lợi ích tuyển dụng tức thì. Tuy nhiên, điều này tạo ra các ‘điểm mù’ nguy hiểm cho các nhà phòng thủ.

 “Các đội an ninh sẽ gặp khó khăn trong việc ưu tiên, khi các nhóm gây tiếng vang che lấp các nhóm vận hành bài bản. Nguồn lực có thể bị phân tán vào phản ứng tình huống thay vì giải quyết các chiến thuật, kỹ thuật và quy trình (TTP) cơ bản, vốn tồn tại ở cả các hoạt động tấn công gây tiếng vang lẫn thầm lặng. Chúng tôi dự báo rằng năm 2026, “Nền kinh tế sức chú ý” của ransomware sẽ buộc các nhà phòng thủ phải tập trung vào TTP nền tảng để chống lại mối đe dọa trên toàn bộ phổ vận hành" - Các nhà nghiên cứu an ninh mạng của ReliaQuest cho hay.

An Lâm (Theo Security Brief châu Á)