Theo báo cáo mới nhất từ hãng bảo mật Kaspersky, mối đe dọa từ ransomware trong năm 2025 đang ngày càng trở nên phức tạp và nguy hiểm hơn, bất chấp việc tổng số vụ tấn công ghi nhận có dấu hiệu giảm. Thay vì phát tán tràn lan, các nhóm tội phạm mạng đang hướng đến các mục tiêu có giá trị cao hơn, áp dụng chiến thuật tinh vi và mức đòi tiền chuộc ngày một lớn.
Số liệu từ hệ thống Kaspersky Security Network cho thấy, số lượng phần mềm mã hóa dữ liệu tống tiền đã giảm 18% trong khoảng thời gian từ năm 2023 đến năm 2024, giảm từ 5,715,892 xuống còn 4,668,229. Tuy nhiên, tỷ lệ người dùng bị ảnh hưởng lại tăng nhẹ 0.44%. Kaspersky lý giải rằng các nhóm tội phạm mạng ngày càng tập trung vào mục tiêu có giá trị thay vì tấn công ồ ạt, từ đó khiến số lượng sự cố giảm nhưng mức độ thiệt hại lại nghiêm trọng hơn.
Các nhóm tội phạm ransomware hoạt động có tổ chức và chọn lọc
Báo cáo từ Bộ phận Ứng cứu An ninh mạng Toàn cầu (GERT) của Kaspersky nhấn mạnh rằng có đến 41.6% các sự cố an ninh mạng trong năm 2024 liên quan trực tiếp đến ransomware – tăng mạnh so với con số 33.3% của năm trước. Hình thức tấn công này tiếp tục là mối đe dọa hàng đầu đối với các tổ chức, đặc biệt là trong bối cảnh số lượng các nhóm tội phạm mạng ngày càng tăng, hoạt động bài bản và có xu hướng mở rộng phạm vi mục tiêu sang nhiều hệ điều hành và nền tảng hơn.
1. Ransomware-as-a-Service: Mô hình tội phạm tinh vi
Một trong những xu hướng nổi bật được ghi nhận là sự gia tăng của mô hình Ransomware-as-a-Service (RaaS), trong đó các nhóm phát triển phần mềm ransomware không trực tiếp thực hiện tấn công mà cho thuê lại công cụ cho các băng nhóm khác thực hiện. Các nhóm ‘chân rết’ này sẽ chia lợi nhuận với bên cung cấp mã độc, tỷ lệ phổ biến là 90% cho nhóm thực hiện và 10% cho bên sở hữu ransomware.
Cách thức này giúp mở rộng quy mô tấn công mà không cần đầu tư quá nhiều vào hạ tầng kỹ thuật, đồng thời khiến việc truy dấu kẻ chủ mưu trở nên khó khăn hơn. Điều này đang tạo ra một hệ sinh thái tội phạm mạng ngày càng đông đảo và nguy hiểm.
2. Ransomware không còn chỉ nhắm vào Windows
Trong quá khứ, các cuộc tấn công ransomware thường tập trung vào hệ điều hành Windows – vốn là nền tảng phổ biến trong các tổ chức và doanh nghiệp. Hệ điều hành này tồn tại nhiều điểm yếu như các lỗ hổng trong Remote Desktop Protocol (RDP) hoặc các trình điều khiển chưa vá lỗi, khiến nó trở thành mục tiêu ưu tiên của các mã độc ransomware.
Tuy nhiên, thời gian gần đây, một số nhóm như RansomHub và Akira đã mở rộng tầm hoạt động sang các hệ thống Linux và VMware – đặc biệt phổ biến trong các môi trường ảo hóa và đám mây lai. Ngoài ra, việc lợi dụng các trình điều khiển có chữ ký số được chứng thực nhưng chứa lỗ hổng cũng là một cách để qua mặt các lớp bảo mật nâng cao trên Windows.
3. Số tiền chuộc tăng vọt dù nạn nhân ít hơn
Thống kê từ Chainalysis cho thấy tổng số tiền chuộc nộp cho ransomware trong năm 2024 đã giảm xuống còn khoảng 813.55 triệu USD – tức giảm 35% so với mức đỉnh 1.25 tỷ USD vào năm 2023. Tuy vậy, Sophos lại ghi nhận rằng mức tiền chuộc trung bình lại tăng vọt từ 1,542,333 USD năm 2023 lên tới 3,960,917 USD trong năm 2024. Điều này cho thấy các nhóm tội phạm đang nhắm vào các tổ chức lớn, nơi có nhu cầu khôi phục dữ liệu cấp bách và sẵn sàng chi trả khoản tiền lớn.
Bên cạnh đó, báo cáo cũng lưu ý rằng phần lớn tổ chức bị tấn công đều buộc phải trả tiền chuộc để khôi phục dữ liệu – cho thấy tác động của ransomware không chỉ đơn thuần là gây gián đoạn, mà còn tạo ra áp lực tài chính cực lớn lên nạn nhân.
4. Tống tiền bằng dữ liệu nhạy cảm – Chiến thuật mới đầy nguy hiểm
Một trong những thay đổi chiến thuật nghiêm trọng nhất mà các nhóm ransomware áp dụng gần đây là sử dụng dữ liệu nhạy cảm của nạn nhân như một công cụ tống tiền bổ sung. Không dừng lại ở việc mã hóa dữ liệu và yêu cầu chuộc, nhiều nhóm đã trích xuất và đe dọa phát tán thông tin quan trọng nếu không được đáp ứng yêu cầu tài chính.
Đặc biệt, các bên thứ ba có liên quan như khách hàng, đối tác, nhà cung cấp… cũng trở thành mục tiêu bị đe dọa gián tiếp. Việc rò rỉ thông tin kinh doanh chiến lược hoặc dữ liệu nhạy cảm không chỉ gây thiệt hại về uy tín mà còn dẫn đến các hệ lụy pháp lý nghiêm trọng cho tổ chức bị tấn công.
5. Tấn công có mục tiêu: Khi ransomware không còn ‘phát tán đại trà’
Ransomware hiện nay được thiết kế để nhắm đến các mục tiêu được lựa chọn kỹ lưỡng – nơi có khả năng gây rối loạn lớn và có ngân sách sẵn sàng chi trả. Các nhóm tội phạm thường tập trung vào những tổ chức thuộc lĩnh vực y tế, tài chính hoặc cơ quan nhà nước.
Ví dụ gần đây có thể kể đến vụ tấn công vào EmoTrans tại Chile do nhóm NightSpire thực hiện vào tháng 03/2025. Đây là công ty hậu cần phục vụ nhiều ngành công nghiệp trọng yếu. Hay vào tháng 09/2024, nhóm RansomHub đã khiến các văn phòng của Kawasaki tại Châu Âu phải ngừng hoạt động. Chỉ riêng trong tuần đầu tháng 04/2025, nhóm Qilin đã gây ảnh hưởng tới 45 công ty, cho thấy mức độ tấn công có chủ đích ngày càng rõ rệt.
Trong khi đó, các hình thức tấn công phổ thông như phát tán qua USB hay lừa đảo qua email vẫn tồn tại, nhưng thường nhắm đến các doanh nghiệp nhỏ và cá nhân ít được bảo vệ kỹ.
6. Ransomware thế hệ mới: Tự học, tự lẩn tránh nhờ AI
Mặc dù nhiều chiến dịch tấn công đã bị ngăn chặn bởi các tổ chức như FBI (Mỹ), lực lượng an ninh Châu Âu hay Đức, nhưng điều đó không thể ngăn cản sự trỗi dậy của các biến thể ransomware ngày càng thông minh hơn. LockBit 3.0 là một ví dụ cho sự tiến hóa đáng gờm, còn nhóm RansomHub – dù từng im ắng – đã tái khởi động chiến dịch từ tháng 04/2025.
Đáng chú ý, các nhóm như FunkSec còn tích hợp AI vào mã nguồn ransomware để nâng cao khả năng tránh bị phát hiện và tăng tốc độ mã hóa dữ liệu. Với AI hỗ trợ, phần mềm độc hại có thể tự điều chỉnh hành vi để phù hợp với hệ thống bị tấn công, gây khó khăn hơn cho các hệ thống phòng thủ truyền thống.
Khuyến nghị từ Kaspersky và chuyên gia bảo mật Việt Nam
Trước tình hình ngày càng nghiêm trọng, Kaspersky nhấn mạnh rằng việc phòng ngừa cần được ưu tiên hàng đầu. Các tổ chức phải triển khai chiến lược phòng thủ nhiều lớp – từ quản lý lỗ hổng cho đến cập nhật phần mềm – để bảo vệ toàn diện.
Việc chủ động vá lỗi là đặc biệt quan trọng, vì đa số các vụ tấn công thành công đều khai thác những điểm yếu chưa được khắc phục trong hệ điều hành hoặc phần mềm phổ biến như Microsoft Exchange hay VMware ESXi. Triển khai các công cụ quản lý bản vá tự động là giải pháp hiệu quả để đảm bảo hệ thống luôn trong trạng thái bảo mật tốt nhất.
Ông Ngô Trần Vũ – đại diện Công ty NTS Security – cũng khuyến cáo nên kích hoạt tính năng Vulnerable Driver Blocklist trong phần Device Security – Core isolation của Windows để chống lại các dạng tấn công thông qua trình điều khiển hợp lệ nhưng bị khai thác (BYOVD).
Ông cũng cho rằng các doanh nghiệp nhỏ có thể kết hợp sử dụng đồng thời Kaspersky Plus và Windows Security nhằm xây dựng lớp bảo vệ đa tầng, không chỉ ngăn chặn mã độc mà còn chống khai thác lỗ hổng và bảo vệ dữ liệu hiệu quả hơn.
Cuộc chiến với ransomware trong năm 2025 rõ ràng không còn là chuyện riêng của các tập đoàn lớn. Với sự phổ biến của AI và chiến lược tấn công đa lớp, bất kỳ tổ chức nào cũng có thể trở thành mục tiêu – nếu không chuẩn bị kỹ lưỡng.
