Chỉ trong 6 tháng đầu năm 2025, hàng loạt vụ tấn công bằng mã độc tống tiền (ransomware) đã được ghi nhận, nhiều trong số đó nhắm vào hệ thống dữ liệu nhạy cảm của các ngân hàng, cơ quan truyền thông và tập đoàn lớn. Trước đây, tin tặc mã hóa dữ liệu rồi đòi tiền. Thế nhưng hiện nay, chúng vừa mã hóa, vừa đe dọa rò rỉ dữ liệu lên darknet, lại thêm tấn công DDoS để gây sức ép. Tạp chí An ninh mạng chia sẻ góc nhìn của các CEO an ninh mạng về xu hướng tấn công mạng tại Việt Nam.

Tin tặc nhắm đến dữ liệu người dùng và hệ thống điều hành trọng yếu

Ông Lê Công Trung, Trưởng bộ phận An ninh mạng, Tổng Công ty Viễn thông MobiFone:

Tôi cho rằng xu hướng tấn công mạng hiện nay đã thay đổi đáng kể. Trước đây, các cuộc tấn công chủ yếu mang tính phá hoại, gây gián đoạn đơn lẻ. Hiện nay, tấn công mạng có tổ chức, mang động cơ tài chính hoặc chính trị, thường nhằm vào chuỗi cung ứng, đánh cắp dữ liệu người dùng và hệ thống điều hành trọng yếu như các hệ thống của các doanh nghiệp tài chính, logistic, các doanh nghiệp lớn hoặc cả quốc gia.

Trong thời gian tới, tấn công mạng sẽ ngày càng tinh vi khi kết hợp cùng công nghệ AI, mã độc, các hình thức tấn công sẽ được cung cấp dưới dạng dịch vụ trên không gian mạng, hướng vào các dịch vụ điện toán đám mây, chuỗi cung ứng. Các cuộc tấn công mã hóa tống tiền (ransomware), tấn công APT và lừa đảo trực tuyến cũng sẽ tiếp tục là các mối đe dọa nổi bật, kèm theo các dạng lừa đảo kết hợp cùng công nghệ AI để lấy thông tin, dữ liệu khách hàng.

Ông Lê Công Trung, Trưởng bộ phận An ninh mạng, Tổng Công ty Viễn thông MobiFone

Các hình thức lừa đảo trực tuyến như phishing, giả mạo email, tin nhắn hoặc trang web vẫn sẽ tiếp tục gia tăng, đặc biệt là khi kết hợp với các công nghệ AI để tạo ra các cuộc tấn công tinh vi hơn.

Xu hướng tấn công lợi dụng trí tuệ nhân tạo ngày càng tăng bởi AI không chỉ là công cụ phòng thủ, mà tin tặc cũng tận dụng AI để tạo mã độc, tự động hóa khai thác lỗ hổng, phân tích hành vi người dùng. Bên cạnh đó, tin tặc không tấn công trực tiếp mà nhắm vào bên thứ ba - nhà cung cấp phần mềm, dịch vụ đám mây, API... để xâm nhập hệ thống nạn nhân chính. Tin tặc sẽ tiếp tục nhắm vào thiết bị cá nhân - nơi yếu nhất trong chuỗi an ninh. Lừa đảo qua mạng xã hội (Facebook, Zalo) sẽ tinh vi hơn, có thể kết hợp deepfake, giả mạo nội dung từ các nguồn đáng tin cậy.

Tôi cho rằng, tin tặc sẽ tấn công hạ tầng trọng yếu, vào các hệ thống OT, SCADA trong ngành điện, nước, giao thông, viễn thông, y tế… là mục tiêu mới, đặc biệt trong bối cảnh cạnh tranh địa chính trị. Các cuộc tấn công DDoS, mã độc phá hoại (wiper), hoặc tấn công vào hệ thống điều khiển từ xa có thể gây thiệt hại vật lý thực sự… Đặc biệt, khi dữ liệu trở thành tài sản chiến lược, các cuộc tấn công sẽ nhắm vào cơ sở dữ liệu định danh, y tế, bảo hiểm, ngân hàng, tài chính, giáo dục. Hệ thống AI tạo nội dung - có thể bị thao túng để phát tán tin giả, làm ảnh hưởng đến dư luận, chính sách và uy tín quốc gia.

Tấn công mạng đang trở thành mô hình kinh doanh của tin tặc

Ông Nguyễn Sơn Hải, CEO Công ty An ninh mạng Viettel:

Tôi cho rằng kỹ thuật tấn công của tin tặc sẽ thông minh hơn và nó đã trở thành một nền công nghiệp và đang được chuyên môn hóa rõ ràng, trở thành mô hình kinh doanh. Các mô hình tấn công đều hướng đến những tác động mạnh đến doanh nghiệp và có tính phá hủy cao hơn. Vì vậy, các cuộc tấn công mã hóa dữ liệu đòi tiền chuộc vẫn là mối nguy hiểm đối với các tổ chức, doanh nghiệp.

Thứ hai nữa, tấn công như một dịch vụ để chuyên biệt hóa giống như xã hội hóa người làm tấn công. Mỗi người làm một việc; người tiếp cận công cụ tấn công thì đôi khi họ không tấn công trực tiếp nữa, mà công cụ ấy được chuyển cho bên thứ ba để họ tấn công. Hình thức này đang hình thành một chuỗi giá trị rất lớn của giới tội phạm mạng. Thậm chí có những đơn vị đã bị hack hạ tầng trong một thời gian dài và tin tặc lại bán hạ tầng này cho nhóm tin tặc khác để khai thác. Những người tham gia tấn công bây giờ chỉ cần kiến thức rất đơn giản đã có thể tham gia mạng lưới tấn công để kiếm tiền. Bên cạnh đó, AI xuất hiện và có những luồng tấn công liên quan đến AI sẽ là xu hướng mới, và tin tặc dùng AI nhiều hơn trong việc tấn công mạng.

Ông Nguyễn Sơn Hải, CEO Công ty An ninh mạng Viettel

Như vậy, có thể thấy rằng các hình thức tấn công mạng đang trở thành mô hình kinh doanh kiếm tiền của tin tặc. Hình thức nào kiếm được nhiều tiền thì tin tặc sẽ đeo bám theo để tìm kiếm lợi nhuận tối đa. Nhu cầu kiếm tiền, tìm kiếm lợi ích khi tấn công mạng đang trở nên rất mạnh mẽ trong giới tội phạm mạng. Vì thế, các mô hình tấn công liên quan đến as-a-service, các mô hình tấn công có tính phá hủy và đe dọa doanh nghiệp lớn như ransomware, DDoS sẽ lên ngôi.

Tấn công mạng đã trở thành ngành công nghiệp đen của tin tặc

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng Quốc gia:

Theo tôi, xu hướng tấn công mạng toàn cầu đang thay đổi về bản chất, quy mô và mục tiêu. Trước đây, tấn công mạng chủ yếu mang tính phá hoại, thăm dò hoặc để gây tiếng vang cá nhân. Nhưng trong 10 năm gần đây, chúng ta chứng kiến sự chuyển dịch sang mô hình tấn công có tổ chức, có mục tiêu cụ thể, phục vụ lợi ích kinh tế, gián điệp và thậm chí là chiến tranh mạng giữa các quốc gia. Các cuộc tấn công ngày nay thường không còn đơn lẻ, mà là kết quả của chuỗi hoạt động có tổ chức, chuyên nghiệp hóa từng khâu, từ khai thác lỗ hổng, lừa đảo, chiếm quyền kiểm soát cho đến mã hóa dữ liệu, đòi tiền chuộc hoặc đánh cắp bí mật kinh doanh.

Ông Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, Tư vấn, Phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng Quốc gia

Tấn công mạng đã trở thành ngành công nghiệp đen, các nhóm tin tặc đã bắt đầu hoạt động theo mô hình doanh nghiệp: có sản phẩm (malware, botnet), có dịch vụ (Ransomware-as-a-Service), có hỗ trợ khách hàng và chính sách chia lợi nhuận. Trong tương lai gần, một số xu hướng nổi bật bao gồm: tấn công đánh cắp dữ liệu quy mô lớn; tấn công mã hóa dữ liệu tống tiền; sử dụng AI để tự động hóa các khâu trong quá trình tấn công, từ phân tích đến tạo các công cụ, nội dung phục vụ tấn công; tấn công hạ tầng trọng yếu: điện lực, giao thông, tài chính, y tế và viễn thông; chiến tranh mạng giữa các quốc gia có xung đột về lợi ích, chính trị, tôn giáo; tấn công các thiết bị IoT, đặc biệt là camera.

Chúng ta đang đi vào một kỷ nguyên mà an ninh mạng không còn là một vấn đề kỹ thuật thuần túy, mà là vấn đề chiến lược, ảnh hưởng trực tiếp đến kinh tế số, quốc phòng và an ninh quốc gia.

AI, ransomware và Cloud trở thành mặt trận “nóng”

Ông Trần Quốc Chính, Tổng Giám đốc CMC Cyber Security:

Trước đây, tấn công mạng chủ yếu mang tính tự phát - mục tiêu là thể hiện bản thân hoặc thử thách kỹ thuật. Tuy nhiên, trong vài năm gần đây, xu hướng tấn công đã thay đổi mạnh mẽ, ngày càng có tổ chức và mang động cơ kinh tế - chính trị rõ rệt.

Các cuộc tấn công hiện nay thường nhắm vào ngành tài chính, năng lượng, y tế, viễn thông và thậm chí là cơ quan nhà nước. Đặc biệt, nhóm APT thường ẩn mình rất lâu trong hệ thống để trinh sát, đánh cắp dữ liệu và phá hoại có chủ đích.

Ông Trần Quốc Chính, Tổng Giám đốc CMC Cyber Security

Ngoài ra, các vụ tấn công chuỗi cung ứng (như SolarWinds, MOVEit) cũng đang tăng mạnh. Tin tặc chỉ cần xâm nhập một nhà cung cấp là có thể ảnh hưởng đến hàng trăm tổ chức khác. Các lỗ hổng zero-day cũng bị khai thác rất nhanh sau khi được công bố - chỉ tính bằng giờ.

Chúng tôi dự báo một số xu hướng chính:

•           AI dùng để giả giọng nói, deepfake lừa đảo tài chính

•           AI giúp phát hiện lỗ hổng và tấn công tự động

•           Tin tặc khai thác thiết bị IoT do bảo mật yếu

•           Cloud trở thành mặt trận chính: khai thác lỗi cấu hình, phân quyền lỏng lẻo

•           Ransomware “hai lớp”: vừa đánh cắp, vừa mã hóa dữ liệu để đòi tiền

Để ứng phó, các tổ chức cần chuyển từ tư duy phòng ngự sang phòng thủ chủ động: xây dựng kiến trúc đa lớp, áp dụng mô hình Zero Trust, triển khai giải pháp EDR, SIEM/SOAR, theo dõi chuỗi cung ứng phần mềm. Với AI/ML, có thể phát hiện sớm hành vi bất thường và phản ứng kịp thời.

Nếu không có đội ngũ chuyên trách, tổ chức nên thuê dịch vụ giám sát an toàn thông tin 24/7. Đặc biệt, cần đầu tư vào năng lực khôi phục sau sự cố (cyber resilience) để đảm bảo hoạt động không bị gián đoạn lâu dài.

Thái Nguyễn