Hệ sinh thái ransomware đang trải qua những thay đổi lớn khi nhiều nhóm tấn công mới xuất hiện, thay thế những tổ chức bị triệt phá. Năm 2024 ghi nhận sự gia tăng đáng kể về số lượng và mức độ tinh vi của các nhóm ransomware, kéo theo sự gia tăng các cuộc tấn công trên toàn cầu.
Các nhóm ransomware mới bắt đầu xuất hiện
Sự phân mảnh của thị trường ransomware, cùng với việc các nhóm tấn công liên tục thay đổi phương thức hoạt động, đặt ra những thách thức mới trong việc phòng chống và ứng phó sự cố. Trong bối cảnh đó, doanh nghiệp cần chủ động cập nhật xu hướng, đánh giá rủi ro và triển khai các biện pháp bảo vệ hệ thống trước những biến động khó lường của ransomware trong năm 2025.
Năm 2024 chứng kiến sự gia tăng đáng kể của các cuộc tấn công ransomware trên toàn cầu, với 5.414 vụ, tăng 11% so với năm trước. Đặc biệt, các cuộc tấn công tăng vọt vào quý 2 và đạt đỉnh vào quý 4, với 1.827 vụ, chiếm 33% tổng số vụ trong năm.
Sự trấn áp từ cơ quan thực thi pháp luật đối với những nhóm tấn công lớn như LockBit đã dẫn đến sự phân mảnh trong hệ sinh thái ransomware, thúc đẩy sự gia tăng của nhiều nhóm nhỏ hơn. Số lượng nhóm ransomware đang hoạt động đã tăng 40%, từ 68 nhóm năm 2023 lên 95 nhóm vào năm 2024.
Nếu như năm 2023 chỉ ghi nhận 27 nhóm ransomware mới, thì đến năm 2024, con số này đã tăng vọt lên 46 nhóm. Sự xuất hiện của các nhóm mới tăng tốc đáng kể vào quý 4, với 48 nhóm đang hoạt động. Trong đó, RansomHub đã vươn lên mạnh mẽ, vượt qua cả LockBit về mức độ ảnh hưởng.
RansomHub – kẻ thống lĩnh thị trường ransomware 2024
RansomHub đã trở thành nhóm ransomware nổi bật nhất năm 2024 với 531 cuộc tấn công kể từ khi bắt đầu hoạt động vào tháng 2/2024. Sau khi FBI triệt phá ALPHV, RansomHub được xem là “người kế nhiệm” khi thu hút một số đối tác cũ của nhóm này.
Nhóm này hoạt động theo mô hình Ransomware-as-a-Service (RaaS), thiết lập chính sách hợp tác nghiêm ngặt với các đối tác và áp dụng tỷ lệ chia tiền chuộc 90/10 (đối tác/Nhóm chính). RansomHub chủ yếu nhắm vào các tổ chức toàn cầu nhưng tránh các quốc gia thuộc CIS, Cuba, Triều Tiên, Trung Quốc và các tổ chức phi lợi nhuận, cho thấy nhiều điểm tương đồng với các nhóm tấn công có liên kết với Nga.
Nghiên cứu của Cyberint vào tháng 8/2024 cho thấy tỷ lệ nạn nhân chấp nhận trả tiền chuộc rất thấp, chỉ 11,2%. Tuy nhiên, RansomHub vẫn đảm bảo lợi nhuận nhờ mở rộng quy mô tấn công. Nhóm này sử dụng mã độc viết bằng Golang và C++, có khả năng mã hóa nhanh trên Windows, Linux và ESXi. Các đặc điểm kỹ thuật của RansomHub có nhiều điểm tương đồng với ALPHV, cho thấy khả năng chia sẻ công cụ hoặc phương thức tấn công.
Fog Ransomware – mối đe dọa mới cho hệ thống giáo dục
Xuất hiện vào tháng 4/2024, Fog tập trung khai thác thông tin đăng nhập VPN bị đánh cắp để tấn công vào các hệ thống giáo dục tại Mỹ. Nhóm này áp dụng chiến lược double-extortion, vừa mã hóa dữ liệu vừa công khai thông tin nếu nạn nhân không đáp ứng yêu cầu tiền chuộc.
Trong năm 2024, Fog đã thực hiện 87 cuộc tấn công trên toàn cầu. Báo cáo từ Arctic Wolf vào tháng 11/2024 cho thấy 30 vụ xâm nhập của nhóm này đều bắt nguồn từ tài khoản VPN SonicWall bị lộ. Đáng chú ý, 75% số vụ này có liên quan đến Akira, đặt ra nghi vấn về sự hợp tác hoặc chia sẻ cơ sở hạ tầng giữa hai nhóm.
Fog đặc biệt nhắm đến các ngành giáo dục, dịch vụ doanh nghiệp, du lịch và sản xuất, chủ yếu tại Mỹ. Nhóm này có tốc độ tấn công rất nhanh, với thời gian từ lúc xâm nhập đến khi mã hóa dữ liệu chỉ trong vòng hai giờ. Ransomware của Fog có các biến thể dành cho cả Windows và Linux.
Lynx Ransomware – định hình xu hướng tấn công mới
Lynx là một nhóm ransomware theo mô hình double-extortion, thường công khai danh sách nạn nhân trên website riêng. Nhóm này tuyên bố không nhắm vào tổ chức chính phủ, bệnh viện, tổ chức phi lợi nhuận và các lĩnh vực xã hội thiết yếu.
Sau khi xâm nhập hệ thống, Lynx thực hiện mã hóa dữ liệu với phần mở rộng “.LYNX” và để lại ghi chú tống tiền “README.txt” trong nhiều thư mục. Trong năm 2024, nhóm này đã thực hiện hơn 70 vụ tấn công, khẳng định vị thế của mình trong bối cảnh ransomware liên tục thay đổi.
Dự báo xu hướng ransomware 2025
Việc các nhóm ransomware lớn bị triệt phá đã tạo điều kiện cho nhiều nhóm mới xuất hiện, với mục tiêu nhanh chóng thiết lập vị thế trên thị trường ngầm. Dự báo năm 2025, nhiều nhóm ransomware mới sẽ gia tăng năng lực tấn công, mở rộng quy mô và trở thành mối đe dọa nghiêm trọng đối với các tổ chức doanh nghiệp.
Trước sự gia tăng của ransomware, chính phủ, doanh nghiệp và các tổ chức đã triển khai nhiều biện pháp nhằm giảm thiểu rủi ro và tác động của các cuộc tấn công. Các giải pháp này không chỉ giúp bảo vệ hệ thống mà còn nâng cao khả năng ứng phó khi sự cố xảy ra, đảm bảo hoạt động kinh doanh không bị gián đoạn.
Một trong những biện pháp quan trọng nhất là đào tạo nhân viên về an ninh mạng. Lực lượng lao động đóng vai trò là tuyến phòng thủ đầu tiên trước các cuộc tấn công, vì vậy nhiều tổ chức đã đầu tư vào các chương trình nâng cao nhận thức bảo mật. Các nội dung đào tạo thường bao gồm cách nhận diện email lừa đảo, xử lý tệp đính kèm đáng ngờ và phản ứng khi phát hiện dấu hiệu xâm nhập hệ thống.
Bên cạnh đó, các công ty cũng tập trung vào việc lập kế hoạch ứng phó sự cố để giảm thiểu thiệt hại khi bị tấn công. Việc xây dựng quy trình phản ứng nhanh, thiết lập kênh liên lạc với cơ quan chức năng và có sẵn phương án cách ly hệ thống bị ảnh hưởng giúp doanh nghiệp kiểm soát tình hình tốt hơn khi sự cố xảy ra.
Để nâng cao khả năng phòng thủ, nhiều doanh nghiệp đã triển khai mô hình bảo mật Zero Trust và xác thực đa yếu tố (MFA). Điều này giúp kiểm soát quyền truy cập vào hệ thống chặt chẽ hơn, yêu cầu xác minh nhiều lớp trước khi cấp quyền sử dụng dữ liệu quan trọng, từ đó ngăn chặn kẻ tấn công khai thác lỗ hổng bảo mật.
Ứng dụng AI và Machine Learning vào bảo mật cũng giúp cải thiện khả năng phát hiện mối đe dọa. Các nền tảng phân tích thông minh có thể theo dõi hành vi bất thường trong hệ thống, phát hiện dấu hiệu tấn công tiềm ẩn và đưa ra cảnh báo kịp thời.
Năm 2024 là một cột mốc quan trọng trong sự phát triển của ransomware, với sự xuất hiện của nhiều nhóm mới có quy mô và chiến lược tinh vi hơn. RansomHub, Fog, và Lynx là những đại diện tiêu biểu cho xu hướng ransomware đang ngày càng khó lường. Trong bối cảnh tấn công mạng tiếp tục gia tăng, doanh nghiệp cần cập nhật thường xuyên về mối đe dọa ransomware, chiến thuật tấn công mới và các biện pháp phòng ngừa để bảo vệ hệ thống.
