Tấn công ramsomware đang tăng mạnh vào dịp mua sắm cuối năm. Ảnh: IBM

Cảnh báo làn sóng ransomware tăng mạnh

Theo khảo sát từ công ty dịch vụ an ninh mạng từ NCC Group, số lượng cuộc tấn công ransomware trên toàn cầu đã tăng 41% chỉ trong hai tháng, từ tháng 9 đến tháng 10/2025.

Tháng 9 đã ghi nhận mức tăng khoảng 28%, và đà này càng lan rộng sang tháng 10, một tín hiệu cho thấy các tác nhân đe dọa đang ráo riết hoạt động trước mùa mua sắm cuối năm, khi nhu cầu tiêu dùng lên cao và doanh nghiệp dễ trở thành mục tiêu hơn.

Trong tổng số 594 vụ tấn công được ghi nhận tháng 10, nhóm Qilin đứng đầu với 170 vụ (chiếm khoảng 29%). Hai nhóm khác là Sinobi và Akira lần lượt chiếm khoảng 15% mỗi nhóm, nằm trong top ba nhóm tấn công tích cực nhất.

Theo thống kê của NCC Group, ngành công nghiệp sản xuất (industrials) bị ảnh hưởng nhiều nhất, chiếm 28% tổng số vụ. Ngành bán lẻ và tiêu dùng (consumer discretionary - bao gồm sản xuất ô tô, bán lẻ, dịch vụ giải trí…) đã gánh chịu 124 vụ; còn ngành y tế đứng thứ ba với 64 vụ. Về mặt địa lý, Bắc Mỹ chiếm phần lớn với 62% các vụ tấn công, tiếp theo là châu Âu (17%) và châu Á (9%).

Bên cạnh đó, một báo cáo của Guidepoint Security cho thấy số lượng nhóm ransomware “hoạt động tích cực” đã tăng 57% theo năm, cho thấy một xu hướng mở rộng đáng kể trong cộng đồng tội phạm mạng.

Liên minh ransomware - nguyên nhân bùng phát các vụ tấn công

Sự gia tăng đột biến số vụ ransomware được cho là phần lớn nhờ vào liên minh giữa các nhóm tội phạm mạng. Một ví dụ nổi bật là việc nhóm LockBit 5.0, vừa tái kích hoạt gần đây, đã hợp tác với hai nhóm nổi bật khác là DragonForce và Qilin. Khi ba nhóm này liên kết, chúng chia sẻ công cụ, hạ tầng, kỹ thuật tấn công… tạo nên một mạng lưới đủ mạnh để triển khai các chiến dịch ransomware quy mô lớn, khiến việc xác định “tác giả thật sự” và ứng cứu trở nên khó khăn hơn.

Mặc dù chưa có báo cáo về các cuộc tấn công phối hợp đồng thời giữa các nhóm này, nhưng liên minh lỏng lẻo vẫn đủ hấp dẫn để thu hút “affiliate”, tức các hacker hoặc nhóm hacker khác tham gia. Với việc LockBit 5.0 tái xuất sau các đợt truy quét năm 2024, liên minh này rõ ràng là một cách để trấn an các đối tác rằng chúng vẫn có đủ năng lực hoạt động.

Các nhóm tội phạm đang tìm cách liên minh với nhau. Ảnh: Shutterstock

Không chỉ LockBit, nhóm mới xuất hiện như The Gentlemen cũng đã tự công bố thực hiện 21 vụ tấn công nhắm vào ngành y tế, tài chính và công nghệ, minh chứng rằng việc gia nhập cuộc chơi ngày càng dễ dàng. Ngày càng có nhiều cá nhân hoặc nhóm ít kinh nghiệm cũng có thể gây ra thiệt hại lớn, nhờ các bộ công cụ ransomware đã bị rò rỉ hoặc được phát hành rộng rãi.

Chiến thuật mới, biến tướng tinh vi để né tránh truy vết

Không chỉ mở rộng về số lượng, các nhóm tội phạm mạng đang thay đổi mạnh mẽ về chiến thuật nhằm né tránh truy vết từ lực lượng điều tra. Báo cáo của Rapid7 cho thấy số nhóm ransomware hoạt động đã tăng từ 65 nhóm trong quý 2 lên 88 nhóm ở quý gần đây, phản ánh mức độ hỗn loạn và khó lường của bối cảnh an ninh mạng toàn cầu. Sự gia tăng này đi kèm với những biến tướng tinh vi trong cách thức vận hành.

Nhiều nhóm đã chuyển sang mô hình “single-extortion”, tức là chỉ đe dọa công bố dữ liệu đánh cắp thay vì tiến hành mã hóa — chiến thuật giúp chúng giảm nguy cơ bị phát hiện qua các hành vi mã hóa bất thường. Một số khác áp dụng phương thức “file-less operations”, gần như không để lại dấu vết mã độc truyền thống trong hệ thống bị xâm nhập, khiến việc truy vết trở nên khó khăn hơn. Bên cạnh đó, các băng nhóm lớn còn cung cấp dịch vụ hỗ trợ cho affiliate, bao gồm đàm phán tiền chuộc thay cho nhóm phụ, qua đó hình thành một hệ sinh thái tội phạm có tổ chức hơn, chia vai trò rõ ràng và hoạt động ngày càng chuyên nghiệp.

Tuy có nhiều biến chuyển mới, các nhóm ransomware vẫn duy trì những phương thức tấn công quen thuộc như khai thác lỗ hổng phần mềm chưa vá, phát tán chiến dịch phishing để lừa người dùng cung cấp thông tin đăng nhập, chiếm quyền truy cập từ xa hoặc tận dụng sai sót trong cấu hình SaaS, VPN hoặc các cổng kết nối đám mây. Đặc biệt, các kỹ thuật khai thác yếu tố con người như giả mạo đội hỗ trợ SaaS hay dụ người dùng cấp quyền OAuth đang trở nên tinh vi hơn, gây ra rủi ro lớn cho các tổ chức không có biện pháp kiểm soát chặt chẽ.

Những thay đổi này khiến các biện pháp phòng thủ truyền thống trở nên kém hiệu quả. Thay vì đối mặt với một nhóm mã độc đơn lẻ, lực lượng an ninh mạng hiện phải chống đỡ cả một mạng lưới tội phạm phân tán, linh hoạt và liên tục trao đổi công cụ, dữ liệu cũng như cách thức tấn công.

Phòng vệ trước khi quá muộn

Theo ông Matt Hull, lãnh đạo mảng tình báo mối đe dọa tại NCC Group, số lượng biến thể ransomware ghi nhận trong năm nay đã vượt con số 200, minh chứng rõ ràng cho tốc độ tiến hóa của loại hình tấn công này. Ông nhấn mạnh rằng các doanh nghiệp cần nâng mức cảnh giác lên cao hơn bao giờ hết và chủ động triển khai biện pháp phòng vệ trước khi bị nhắm mục tiêu.

Ưu tiên quan trọng nhất là tăng cường khả năng giám sát và phát hiện sớm, thông qua việc theo dõi liên tục các hệ thống để kịp thời nhận diện những hành vi bất thường. Song song đó, doanh nghiệp cần đầu tư vào đào tạo nhân viên nhằm nâng cao nhận thức về nguy cơ phishing và các kỹ thuật lừa đảo dựa trên yếu tố con người, vốn là điểm yếu phổ biến mà hacker thường xuyên khai thác.

Ransomware khiến các doanh nghiệp thiệt hại lớn về tài chính. Ảnh: Kaspersky

Việc bảo đảm hệ thống sao lưu dữ liệu an toàn, tách biệt và được cập nhật thường xuyên cũng là biện pháp then chốt giúp cơ quan, doanh nghiệp khôi phục hoạt động mà không cần phụ thuộc vào yêu cầu tiền chuộc. Cuối cùng, một kế hoạch ứng phó sự cố rõ ràng, được diễn tập định kỳ, sẽ giúp cơ quan, doanh nghiệp phản ứng nhanh và hiệu quả khi tấn công xảy ra, giảm thiểu đáng kể thiệt hại và thời gian gián đoạn.

Nhìn chung, với sự phát triển nhanh chóng của các liên minh ransomware và chiến thuật tấn công ngày càng tinh vi, việc chủ động phòng vệ, nâng cao năng lực ứng phó và tăng cường huấn luyện con người đang trở thành những yếu tố sống còn đối với mọi tổ chức trong kỷ nguyên số.

Xem thêm:

Đăng Khoa