Mặc dù các cuộc tấn công bằng mã độc tống tiền (ransomware) có xu hướng giảm về mặt số lượng, song mức độ nguy hiểm và phạm vi ảnh hưởng lại đang gia tăng – theo báo cáo mới nhất từ Kaspersky.
Số liệu từ Kaspersky Security Network cho thấy, trong giai đoạn từ năm 2023 đến 2024, số vụ phát hiện ransomware đã giảm 18%, từ hơn 5,7 triệu còn khoảng 4,6 triệu trường hợp. Tuy vậy, tỷ lệ người dùng thực tế bị ảnh hưởng lại tăng nhẹ 0,44%. Sự sụt giảm số lượng này không đồng nghĩa với việc mối nguy giảm đi – các nhóm tội phạm mạng hiện nay ngày càng chọn lọc mục tiêu, nhắm vào các đối tượng có giá trị cao để tăng hiệu quả tấn công.
Cục Ứng cứu An ninh mạng Toàn cầu của Kaspersky (GERT) ghi nhận rằng, trong năm 2024, ransomware liên quan đến 41,6% các sự cố an ninh mạng mà tổ chức này xử lý – tăng mạnh so với mức 33,3% của năm trước.
Xu hướng ransomware nổi bật giai đoạn 2024–2025
1. Ransomware-as-a-Service: Mô hình chia lợi nhuận lan rộng
Các nhóm tội phạm cung cấp mã độc dưới hình thức cho thuê, chia sẻ lợi nhuận với các nhóm “chân rết”. Trong nhiều trường hợp, nhóm thực hiện tấn công nhận tới 90% lợi nhuận từ tiền chuộc, trong khi nhóm phát triển mã độc chỉ giữ 10%.
2. Mở rộng mục tiêu vượt ngoài Windows
Mặc dù Windows vẫn là mục tiêu chính do độ phổ biến trong doanh nghiệp, nhiều nhóm tin tặc đã phát triển biến thể ransomware nhắm đến nền tảng khác như Linux và hệ thống ảo hóa VMware – đặc biệt trong môi trường đám mây. Một số còn lợi dụng trình điều khiển được ký số bởi Microsoft để vượt qua các lớp phòng vệ của hệ điều hành.
3. Ít nạn nhân hơn, nhưng tiền chuộc cao hơn
Tổng tiền chuộc bị chi trả trong năm 2024 đã giảm xuống còn khoảng 813 triệu USD, thấp hơn 35% so với năm 2023. Tuy nhiên, khoản tiền trung bình mà mỗi nạn nhân phải trả lại tăng mạnh – gần 4 triệu USD, gấp đôi so với trước, do ransomware nhắm vào các tổ chức lớn.
4. Thủ đoạn tống tiền ngày càng tinh vi
Nhiều nhóm tội phạm không chỉ mã hóa dữ liệu mà còn đánh cắp và đe dọa công khai thông tin nhạy cảm để gây áp lực lên các tổ chức, đối tác và khách hàng của họ. Đây là chiến lược nhằm tối đa hóa sức ép và tiền chuộc.
5. Mục tiêu tấn công có chọn lọc hơn
Thay vì phát tán diện rộng, ransomware giờ đây tập trung vào các tổ chức then chốt như bệnh viện, cơ quan tài chính hay chính phủ. Chúng gây gián đoạn nghiêm trọng và tạo áp lực lớn buộc nạn nhân trả tiền chuộc.
Một số vụ việc tiêu biểu gần đây bao gồm: Nhóm NightSpire tấn công công ty hậu cần EmoTrans tại Chile, RansomHub khiến các văn phòng của Kawasaki tại Châu Âu phải dừng hoạt động vào tháng 9/2024, và ransomware họ Qilin nhắm vào 45 công ty chỉ trong tuần đầu tháng 4/2025.
6. Ransomware tích hợp trí tuệ nhân tạo
Dù bị truy quét mạnh mẽ bởi các cơ quan như FBI, nhiều nhóm ransomware vẫn hồi sinh và tiếp tục hoạt động – đơn cử như LockBit 3.0 hay RansomHub trở lại trong tháng 4/2025. Đáng lo ngại hơn, một số nhóm như FunkSec đã ứng dụng AI để nâng cấp mã độc, giúp chúng vượt qua hệ thống phát hiện truyền thống.
Cảnh báo và khuyến nghị cho doanh nghiệp
Theo Kaspersky, việc triển khai phòng thủ đa lớp là thiết yếu để chống lại các cuộc tấn công ngày càng tinh vi. Tổ chức nên ưu tiên khắc phục lỗ hổng bằng cách cập nhật hệ thống thường xuyên, sử dụng phần mềm quản lý bản vá tự động, đặc biệt với những nền tảng phổ biến như Microsoft Exchange hay VMware ESXi.
Ông Ngô Trần Vũ (Công ty NTS Security) khuyến cáo các tổ chức nên kích hoạt tính năng chặn trình điều khiển dễ bị tấn công trong Windows (Vulnerable Driver Blocklist) và cập nhật đầy đủ phần mềm bảo mật. Với doanh nghiệp nhỏ, có thể phối hợp dùng Windows Security cùng Kaspersky Plus để tăng cường phòng vệ, bảo vệ dữ liệu khỏi mã độc tống tiền và các cuộc tấn công mạng ngày càng khó lường.