
Quý I năm 2025 đã chứng kiến một bước ngoặt mới trong bức tranh an ninh mạng toàn cầu, khi ransomware – một hình thức tấn công mạng vốn không còn xa lạ – gia tăng với tốc độ chưa từng có. Theo báo cáo của Corvus Insurance (thuộc Travelers Group, Hoa Kỳ), số vụ tấn công ransomware được công bố đã tăng 213% so với cùng kỳ năm trước, từ 398 lên đến 1.246 vụ. Tuy nhiên, số liệu thực tế có thể còn cao hơn do nhiều tổ chức không tiết lộ thông tin vì lý do bảo mật và uy tín thương hiệu.
Ransomware đang vận hành như một ngành công nghiệp
Theo báo cáo tổng hợp từ Corvus Insurance – công ty bảo hiểm mạng thuộc Travelers Group (Hoa Kỳ), số vụ tấn công ransomware trong quý I năm 2025 đã tăng tới 213% so với cùng kỳ năm ngoái, ghi nhận 1.246 vụ tấn công có chủ đích trên toàn cầu, so với 398 vụ trong quý I/2024. Đây là mức tăng chưa từng có kể từ khi loại hình tấn công này được theo dõi có hệ thống.
Tuy nhiên, dữ liệu thực tế có thể còn cao hơn đáng kể, bởi nhiều tổ chức đã chọn không công khai sự cố vì lý do pháp lý hoặc ảnh hưởng đến uy tín thương hiệu. Không dừng lại ở con số, ransomware ngày nay đã tiến hóa thành một hệ sinh thái hoàn chỉnh – nơi sự lặp lại, tự động hóa, dịch vụ hóa và khả năng tùy biến ngày càng tinh vi đang làm lung lay mọi phương pháp phòng thủ truyền thống.
Các cuộc tấn công không chỉ tập trung vào các tập đoàn lớn, mà còn lan rộng tới cả các doanh nghiệp vừa và nhỏ, thậm chí là các cơ quan nhà nước, trường học, bệnh viện và nhà cung cấp dịch vụ hạ tầng thiết yếu. Không còn phụ thuộc hoàn toàn vào việc khai thác lỗ hổng “zero-day” đắt giá, ransomware hiện đại chủ yếu dựa vào các chiến thuật có thể lặp lại, quy mô hóa và tự động hóa.
Sự phát triển mạnh mẽ của mô hình Ransomware-as-a-Service (RaaS) đã thay đổi căn bản cách thức các nhóm tội phạm mạng triển khai ransomware. Thay vì hoạt động đơn lẻ, các nhóm như LockBit, Medusa, Black Basta hay Ransomhub hiện nay cung cấp mã độc, nền tảng quản trị và thậm chí cả dịch vụ hỗ trợ kỹ thuật cho bên thứ ba thông qua hình thức thuê bao hoặc chia sẻ lợi nhuận.
Theo ghi nhận, Ransomhub đã thực hiện hơn 200 vụ tấn công trong quý I/2025 trước khi có dấu hiệu ngừng hoạt động hoặc sáp nhập. Các nạn nhân trải rộng trên nhiều ngành nghề, hạ tầng. Trong khi trước đây các nhóm tấn công thường tìm kiếm một lỗ hổng zero-day để khai thác, xu hướng hiện tại lại nghiêng về sử dụng các phương pháp tiếp cận có thể lặp lại, dễ nhân rộng và khó kiểm soát hơn.
Những kỹ thuật này cho phép nhóm tấn công mở rộng quy mô hoạt động mà không cần đến kỹ năng chuyên sâu, đồng thời duy trì tốc độ và tần suất tấn công liên tục. Theo phân tích của Corvus Insurance, có tới 32% các vụ tấn công trong quý I/2025 xuất phát từ việc tổ chức chưa cập nhật bản vá các lỗ hổng đã được phát hiện từ trước. Tin tặc lợi dụng những điểm yếu trong phần mềm, hệ thống điều hành và cấu hình mạng để xâm nhập vào mạng lưới của tổ chức, rồi âm thầm mã hóa dữ liệu và yêu cầu tiền chuộc.
Điểm đáng chú ý là những cuộc tấn công ngày nay không còn cần đến chuyên môn sâu. Chỉ với khoản chi phí vài trăm USD và bộ công cụ tấn công có sẵn (toolkit), bất kỳ cá nhân hoặc nhóm nào cũng có thể thực hiện chiến dịch ransomware ở quy mô lớn. Sự phát triển này chính là “công nghiệp hóa” tội phạm mạng theo nghĩa đen.
Nguyên nhân chính dẫn đến sự gia tăng này đến từ ba yếu tố: sự chậm trễ trong việc vá lỗ hổng bảo mật, sự phát triển mạnh mẽ của mô hình Ransomware-as-a-Service (RaaS) và các cuộc tấn công vào chuỗi cung ứng công nghệ.
Một số phương thức tấn công phổ biến:
- Tấn công brute-force vào VPN và firewall: Nhóm Black Basta phát triển công cụ “BRUTED” chuyên tấn công VPN doanh nghiệp bằng cách dò quét mật khẩu yếu hoặc tái sử dụng
- Sử dụng công cụ tự động: Nhiều công cụ tấn công hiện nay đã được “sản phẩm hóa” như TMChecker hay Golden Checker, cho phép kẻ tấn công kiểm tra và khai thác thông tin đăng nhập với tốc độ và quy mô lớn.
- Phishing tinh vi sử dụng AI: các công cụ trí tuệ nhân tạo không kiểm duyệt như GhostGPT hay WormGPT đã bắt đầu xuất hiện trên các diễn đàn ngầm, hỗ trợ tự động hóa việc tạo email phishing, mã độc và thậm chí cả nội dung giả mạo khó phân biệt với thật.
- Kỹ thuật social engineering mở rộng: Một số nhóm đã sử dụng Microsoft Teams để giả mạo bộ phận IT, gửi mã độc qua chat nội bộ. Ngoài ra, còn có các trường hợp gửi thư tay mạo danh nhóm BianLian yêu cầu tiền chuộc, hoặc deepfake video mạo danh giám đốc điều hành để lừa đảo chuyển khoản nội bộ.
Điểm đặc biệt là tất cả những kỹ thuật này đều không mới – điều khiến chúng hiệu quả là khả năng tái sử dụng với quy mô lớn, nhờ vào hạ tầng công cụ, tài liệu và dữ liệu được chia sẻ trong cộng đồng tội phạm mạng.
Ngành y tế tiếp tục là mục tiêu ưa thích của các nhóm ransomware. Chỉ trong quý I/2025 đã ghi nhận 35% các nhóm ransomware có hoạt động nhắm vào tổ chức y tế. Các cuộc tấn công này không chỉ mã hóa dữ liệu bệnh án mà còn nhắm vào phần mềm y tế phổ biến, mở đường truy cập vào các hệ thống nội bộ quan trọng hơn.
Các tổ chức cần trung bình 258 ngày để phát hiện, ứng phó và khôi phục hoàn toàn sau sự cố. Thiệt hại trực tiếp về tài chính, gián đoạn dịch vụ, mất lòng tin từ khách hàng, và các rủi ro pháp lý liên quan đến bảo mật thông tin cá nhân là không thể đo đếm được. Một số tổ chức chọn cách trả tiền chuộc để nhanh chóng khôi phục hệ thống, song thực tế cho thấy không ít trường hợp vẫn bị lộ lọt dữ liệu hoặc bị tiếp tục tống tiền dù đã thanh toán.
Làm thế nào để hạn chế tối đa việc tấn công ransomware
Trước thực tế ransomware đã trở thành rủi ro thường trực, việc chủ động nâng cao khả năng phòng vệ là yêu cầu bắt buộc. Các tổ chức cần triển khai các biện pháp sau để đảm bảo an toàn cho hệ thống thông tin:
Quản lý hệ thống và lỗ hổng: Cập nhật bản vá phần mềm định kỳ, kiểm soát cấu hình hệ thống và phân quyền truy cập.
Đánh giá bảo mật: Thực hiện đánh giá bảo mật định kỳ cho hệ thống để phát hiện sớm các lỗ hổng và các hành vi xâm nhập
Phát hiện và ứng phó: Giám sát hành vi và phát hiện sớm các mối đe dọa với (MDR/XDR), xây dựng kịch bản và quy trình ứng phó sự cố cụ thể.
Bảo vệ thông tin cá nhân: Thực hiện xác thực đa yếu tố (MFA), giám sát việc sử dụng tài khoản nội bộ và đăng nhập từ xa.
Đào tạo nâng cao nhận thức: Tổ chức đào tạo thường xuyên cho nhân viên về tấn công lừa đảo, deepfake, social engineering…, tăng cường kiểm tra giám sát thiết bị truy cập từ bên ngoài.
Sao lưu dữ liệu: Xây dựng chính sách sao lưu dữ liệu, đảm bảo khả năng khôi phục nhanh mà không bị phụ thuộc vào hệ thống đang bị mã hóa.
Thay vì chờ đợi và phản ứng khi sự cố xảy ra, nhiều tổ chức đang chuyển sang các giải pháp chủ động để phát hiện và phản ứng mối đe dọa an ninh mạng từ sớm. VSEC với 22 năm kinh nghiệm trong lĩnh vực an ninh mạng, tiên phong trong lĩnh vực an ninh mạng, phục vụ hàng trăm doanh nghiệp trong và ngoài nước bằng các giải pháp bảo mật hàng đầu, không chỉ khẳng định năng lực chuyên môn vững chắc mà còn góp phần nâng tầm vị thế Việt Nam trên bản đồ an ninh mạng toàn cầu.