Mùa hè 2025 ghi nhận làn sóng tấn công mạng dồn dập vào nhiều lĩnh vực then chốt từ hệ thống y tế, bán lẻ, đến ngành bảo hiểm và hạ tầng quốc gia, hàng loạt cuộc tấn công quy mô lớn đã diễn ra, cho thấy mức độ tinh vi và tần suất ngày càng gia tăng của các nhóm hacker – cả tội phạm có tổ chức lẫn nhóm do nhà nước hậu thuẫn.

Ransomware tấn công dồn dập vào ngành y tế và bảo hiểm

Theo Báo cáo Tổng kết An ninh mạng 2024 – Dự báo 2025 của VSEC, năm 2024 đã đánh dấu sự gia tăng mạnh mẽ của các cuộc tấn công ransomware nhắn vào hệ thống y tế trên toàn cầu. Những cuộc tấn công này không chỉ làm gián đoạn hoạt động y tế, mà còn gây rủi ro nghiêm trọng khi hồ sơ y tế và thông tin cá nhân của bệnh nhân bị đánh cắp hoặc công khai.

Bước sang 2025, ngành y tế một lần nữa trở thành mục tiêu ưu tiên của ransomware khi các nhóm như Interlock, Rhysida và Qilin đồng loạt gia tăng hoạt động. Trong đó, Interlock bị cơ quan an ninh mạng Hoa Kỳ (CISA), FBI và Bộ Y tế cảnh báo đặc biệt vì đã gây ra ít nhất 14 sự cố trong năm 2025, phần lớn ảnh hưởng đến các cơ sở chăm sóc sức khỏe. Nhóm này sử dụng công cụ “FileFix” – một trình khởi chạy PowerShell ngụy trang – nhằm vượt qua hệ thống phòng thủ truyền thống và lừa người dùng kích hoạt mã độc.

Cùng thời điểm đó, nhóm Rhysida công bố đã đánh cắp dữ liệu nhạy cảm từ Florida Hand Center, bao gồm hình ảnh y tế, thông tin bảo hiểm và giấy tờ cá nhân. Tại châu Âu, Qilin – nhóm ransomware hoạt động mạnh nhất tháng 6 – khai thác các lỗ hổng chưa được vá trong hệ thống Fortinet để đột nhập, mã hóa và tống tiền nhiều cơ sở y tế. Chúng thậm chí còn kết hợp các công cụ đàm phán tự động và chiêu bài pháp lý để gia tăng áp lực thanh toán.

Scattered Spider – một nhóm tội phạm mạng nói tiếng Anh bản ngữ – tiếp tục thể hiện mức độ nguy hiểm khi chuyển hướng từ các chuỗi bán lẻ sang ngành bảo hiểm Hoa Kỳ. Tháng 6, hãng bảo hiểm Aflac phát hiện truy cập trái phép làm lộ dữ liệu khách hàng và nhân viên, trong khi Erie Insurance và Philadelphia Insurance cũng ghi nhận sự cố tương tự. Dù không mã hóa dữ liệu, nhóm này vẫn gây ra tình trạng gián đoạn nghiêm trọng trong hoạt động.

Các chuyên gia VSEC nhận định ngành y tế là đối tượng tấn công mới vì tính đặc thù dữ liệu đa dạng và nhạy cảm, sự phức hợp hệ thống y tế đòi hỏi nhiều nguồn lực và chuyên môn cao, ngoài ra nhiều bệnh viện ưu tiên cho các thiết bị y tế và nâng cao chất lượng dịch vụ, dẫn đến việc ít đầy tư vào bảo mật mạng.

Sự gia tăng của các cuộc tấn công ransomware cho thấy ngành y tế đang trở thành mục tiêu hàng đầu của tin tặc. Việc bảo vệ hạ tầng CNTT, tăng cường bảo mật dữ liệu, và đào tạo nhân thức an ninh mạng sẽ là yếu tố sống còn để đối phó với các mối đe dọa này.

Từ tấn công mạng chuỗi bán lẻ đến các chiến dịch gián điệp nhà nước

Bên cạnh ngành y tế và bảo hiểm, lĩnh vực bán lẻ cũng trở thành tâm điểm trong chuỗi tấn công mạng mùa hè 2025. Ngày 2/7, chi nhánh Louis Vuitton tại Anh thừa nhận bị rò rỉ dữ liệu khách hàng, chỉ vài tuần sau khi các sự cố tương tự xảy ra tại Dior và LV Korea. Các thông tin bị lộ bao gồm địa chỉ email, lịch sử giao dịch, và thông tin thanh toán, làm dấy lên lo ngại về một chiến dịch tấn công có chủ đích vào các thương hiệu cao cấp.

Nhóm Scattered Spider bị nghi ngờ đứng sau loạt sự cố này, với chiến thuật đánh lừa nhân viên CNTT hoặc đội hỗ trợ kỹ thuật bằng các cuộc gọi giả danh nội bộ, nhằm vượt qua hệ thống xác thực đa yếu tố (MFA). Chiến thuật này từng được nhóm sử dụng thành công trong các cuộc tấn công trước đó vào hệ thống bán lẻ và viễn thông lớn tại Mỹ.

Tại Mỹ, chuỗi cửa hàng Belk cũng trở thành nạn nhân khi bị nhóm DragonForce xâm nhập và đánh cắp hơn 156 GB dữ liệu vào tháng 5. Số dữ liệu này bao gồm thông tin cá nhân, số an sinh xã hội và hồ sơ nhân sự của hàng nghìn nhân viên.

DragonForce là một nhóm hoạt động dưới hình thức “ransomware-as-a-service” – cung cấp dịch vụ mã hóa và tống tiền như một nền tảng cho các nhóm nhỏ hơn. Theo thống kê của Recorded Future, tính đến tháng 3/2025, nhóm này đã gây thiệt hại cho hơn 130 tổ chức, trong đó hơn 60% nạn nhân đến từ Mỹ và Anh.

Không dừng lại ở các nhóm tội phạm mạng truyền thống, mùa hè 2025 còn chứng kiến sự gia tăng các chiến dịch có yếu tố địa chính trị, do các nhóm hacktivist và tổ chức được nhà nước hậu thuẫn thực hiện. Đáng chú ý là vụ tấn công của nhóm Predatory Sparrow – nhóm tin tặc thân Israel – nhằm vào các tổ chức quan trọng tại Iran, trong đó có ngân hàng Sepah và sàn giao dịch tiền mã hóa Nobitex.

Hậu quả là gần 90 triệu USD tiền mã hóa bị rút khỏi hệ thống, cùng hàng triệu bản ghi giao dịch bị rò rỉ. Vụ việc làm dấy lên lo ngại về khả năng trả đũa mạng, khiến Bộ An ninh Nội địa Mỹ và CISA phải phát hành cảnh báo nâng mức phòng vệ mạng tại các cơ sở hạ tầng trọng yếu.

Những lỗ hổng nghiêm trọng bị khai thác trong các 

Trong khi các nhóm ransomware nhắm đến lợi nhuận thông qua tống tiền, thì các chiến dịch gián điệp mạng được tổ chức bài bản hơn, với mục tiêu tiếp cận thông tin tình báo, tài liệu mật, và dữ liệu hạ tầng trọng yếu. Một trong những chiến dịch nghiêm trọng nhất mùa hè mang tên ToolShell, do một nhóm APT chưa được xác định thực hiện.

Chiến dịch này tập trung vào việc khai thác lỗ hổng chưa được vá trong Microsoft SharePoint để xâm nhập sâu vào hệ thống chính phủ, tổ chức viễn thông và doanh nghiệp năng lượng tại Mỹ, châu Âu và Trung Đông.

Lỗ hổng CVE-2025-53770 – lỗ hổng thực thi mã từ xa (RCE) – cho phép kẻ tấn công không cần xác thực có thể chạy mã độc tuỳ ý trên máy chủ SharePoint. Đây là một lỗ hổng “zero-day” đặc biệt nguy hiểm vì chưa có bản vá đầy đủ tại thời điểm bị khai thác.

Kẻ tấn công sử dụng chuỗi tấn công liên hoàn, kết hợp CVE-2025-49704 và CVE-2025-49706 – hai lỗ hổng liên quan đến phân quyền và thực thi mã – để vượt qua các cơ chế kiểm soát trước đó và mở rộng phạm vi tấn công. Báo cáo từ Microsoft Threat Intelligence cho biết các chiến dịch tấn công này có dấu hiệu được tài trợ bởi quốc gia, với dấu vết cho thấy hoạt động lâu dài, được đầu tư bài bản và có khả năng phối hợp giữa các nhóm tin tặc.

Điểm đáng lo ngại không chỉ nằm ở các lỗ hổng kỹ thuật, mà còn ở yếu tố con người. Theo thống kê từ CISA, hơn 80% các chiến dịch tấn công mạng trong quý II/2025 đều bắt đầu từ hành vi phishing hoặc giả mạo danh tính để lừa người dùng nhấp vào đường dẫn độc hại hoặc cung cấp thông tin truy cập. Các chiến dịch như ToolShell thường được hỗ trợ bởi kỹ thuật social engineering tinh vi, nhắm vào nhân sự có đặc quyền truy cập để mở đường vào hệ thống.

Các chuyên gia an ninh mạng tại VSEC cảnh báo rằng các tổ chức không thể tiếp tục phụ thuộc vào mô hình “ngăn chặn mã độc” truyền thống. Thay vào đó, cần đầu tư vào đầu tư vào giám sát hành vi người dùng, kiểm soát truy cập đặc quyền và thường xuyên tổ chức mô phỏng tình huống tấn công thực tế.

Các mối đe dọa an ninh mạng hiện nay không chỉ nhanh hơn, thông minh hơn mà còn tinh vi và khó lường hơn bao giờ hết. Tuy nhiên, thay vì ứng phó bị động, một chiến lược an ninh mạng toàn diện sẽ giúp doanh nghiệp chủ động bảo vệ hệ thống và thích ứng linh hoạt với các rủi ro mới.