Sự gia tăng này cho thấy ransomware vẫn đang là mối đe dọa nghiêm trọng đối với doanh nghiệp toàn cầu, đặc biệt khi tin tặc ngày càng khai thác trí tuệ nhân tạo (AI) để nâng cao kỹ thuật tấn công.

Ảnh minh họa

“Dù mục tiêu cuối cùng của tội phạm mạng vẫn là ransomware, nhưng cách thức chúng tiếp cận mục tiêu đang thay đổi,” ông Gerald Beuchelt, Giám đốc An ninh Thông tin (CISO) của Acronis cho biết. “Ngay cả những kẻ tấn công ít tinh vi nhất ngày nay cũng có thể truy cập vào các công cụ AI tiên tiến, từ đó tạo ra các cuộc tấn công lừa đảo xã hội và tự động hóa hoạt động của chúng một cách dễ dàng.”

Ngành sản xuất là mục tiêu hàng đầu của ransomware

Ransomware tiếp tục thống trị bức tranh mối đe dọa toàn cầu. Riêng trong tháng 2 năm 2025, nhóm tội phạm mạng Cl0p đã nhận trách nhiệm cho 335 vụ tấn công, phần lớn liên quan đến việc khai thác hàng loạt lỗ hổng trong các nền tảng truyền tải dữ liệu (MFT).

Chiến dịch tấn công mạnh tay này đã làm ảnh hưởng đến gần 390 tổ chức chỉ trong 3 tháng, với mục tiêu chủ yếu là các ngành sản xuất và hậu cần.

Cụ thể, ngành sản xuất dẫn đầu danh sách các lĩnh vực bị tấn công ransomware trong quý 1 năm 2025, chiếm 15% tổng số vụ, tiếp theo là bán lẻ và dịch vụ thực phẩm (12%), và viễn thông/truyền thông (10%).

Các nhà cung cấp dịch vụ quản lý (MSP) bị tấn công qua lừa đảo (Phishing)

MSP tiếp tục là mục tiêu hấp dẫn do họ có quyền truy cập vào nhiều hệ thống của khách hàng. Báo cáo cho thấy 52% các vụ vi phạm tại MSP có nguyên nhân từ lừa đảo qua email, tăng mạnh so với 30% năm 2024. Đây là dấu hiệu rõ ràng về xu hướng khai thác yếu tố con người, đặc biệt là thông qua các chiêu trò lừa đảo được hỗ trợ bởi AI.

Một số vụ tấn công đáng chú ý: Telefonica (gã khổng lồ viễn thông Tây Ban Nha) bị rò rỉ dữ liệu của 20.000 nhân viên do bị đánh cắp thông tin đăng nhập; Qilin ransomware xâm nhập vào Virtual IT (Mỹ), gây ảnh hưởng đến cả hệ thống khách hàng của họ; Asseco Poland (thuộc nhà cung cấp phần mềm lớn nhất châu Âu) bị nhóm HellCat tấn công thông qua thông tin đăng nhập Jira bị đánh cắp.

Trong khi các vụ tấn công dựa trên giao thức RDP giảm mạnh (từ 24% còn 3%), việc đánh cắp tài khoản và lỗ hổng chưa vá vẫn là rủi ro lớn.

Từ hộp thư đến ứng dụng trò chuyện: các công cụ cộng tác trở thành mục tiêu mới

Email vẫn là con đường tấn công phổ biến, nhưng tin tặc đang chuyển sang các nền tảng cộng tác như Microsoft Teams. Tỷ lệ phishing trong các ứng dụng cộng tác đã tăng từ 9% (Quý 1 năm 2024) lên 30,5% (Quý 1 năm 2025) - trong đó gần 25% các cuộc tấn công sử dụng deepfake do AI tạo ra và các khai thác tự động.

Trong khi đó, tỷ lệ email độc hại đã giảm từ 1,5% xuống 1,1%, có thể nhờ vào hệ thống lọc email được cải thiện. Tuy nhiên, các cuộc tấn công giả mạo doanh nghiệp (BEC) lại tăng lên 25,6%, cho thấy tội phạm mạng vẫn dựa nhiều vào kỹ thuật lừa đảo xã hội.

Một số chiến dịch tấn công quy mô lớn trong nửa đầu năm 2025 gồm Bộ công cụ CoGUI phishing gửi hơn 580 triệu email lừa đảo, giả mạo hệ thống trả lương và thanh toán; Một đợt smishing (lừa đảo qua tin nhắn) sử dụng Darcula đã đánh cắp 884.000 thẻ tín dụng thông qua iMessage và RCS; Một chiến dịch tuyển dụng giả mạo nhắm đến các CFO toàn cầu với nhà tuyển dụng deepfake và phần mềm độc hại ẩn.

Xu hướng cho thấy tin tặc ngày càng khai thác các nền tảng giao tiếp mới thay vì chỉ dựa vào spam truyền thống.

AI tiếp sức cho tội phạm mạng

AI đang trở thành vũ khí chủ lực trong các cuộc tấn công hiện đại. Tội phạm mạng đang sử dụng bộ công cụ lừa đảo dựa trên AI, malware tự động, và deepfake tinh vi để vượt qua các lớp phòng thủ.

Một vụ việc nghiêm trọng liên quan đến các điệp viên Triều Tiên sử dụng deepfake AI để giả dạng lập trình viên làm việc từ xa, qua mặt các công ty công nghệ phương Tây, truy cập hệ thống nhạy cảm suốt nhiều tháng - trong khi vẫn gửi lương về Triều Tiên.

Ngoài ra, lỗ hổng trong mô hình AI DeepSeek cho phép tiêm lệnh độc hại qua prompt, làm rò rỉ dữ liệu nhạy cảm. Trên mạng xã hội, deepfake giả mạo người nổi tiếng được sử dụng để dụ người dùng đầu tư lừa đảo, ảnh hưởng đến gần 1 triệu nạn nhân ở châu Âu.

“MSP, nhà sản xuất, nhà cung cấp dịch vụ internet và nhiều tổ chức khác đang thường xuyên đối mặt với các cuộc tấn công tinh vi, bao gồm cả deepfake AI ngày càng khó phát hiện - và chỉ cần một sai sót nhỏ cũng có thể khiến tương lai của tổ chức bị đe dọa,” ông Beuchelt cảnh báo.

Chuẩn bị cho làn sóng tấn công tiếp theo

Ransomware đang trỗi dậy, phishing ngày càng tinh vi, và AI thì hạ thấp rào cản gia nhập của tội phạm mạng. Với doanh nghiệp, điều này có nghĩa là bức tranh đe dọa không chỉ mở rộng mà còn tăng tốc.

“Để tồn tại trong môi trường đầy rủi ro này và tránh hậu quả nặng nề từ ransomware, các doanh nghiệp cần một chiến lược bảo mật toàn diện, bao gồm phát hiện nâng cao, phản ứng nhanh và khả năng khôi phục mạnh mẽ", ông Beuchelt kết luận.

Nguyễn Yến (theo Information Security Buzz)