Tình hình hoạt động của ransomware năm 2025

10:12 | 31/07/2025

[ATTT số 3 (085) 2025] - Nhân ngày chống phần mềm tống tiền quốc tế (12/5), Kaspersky đã đưa ra một báo cáo toàn cảnh về bối cảnh ransomware luôn thay đổi và tác động sâu rộng của nó đến an ninh mạng toàn cầu. Bài viết được tổng hợp dựa trên báo cáo của Kaspersky sẽ đi sâu phân tích những xu hướng nổi bật của năm 2024, các mối đe dọa mới nổi, dự đoán hoạt động của ransomware trong năm 2025 và đưa ra những khuyến nghị thiết thực nhằm tăng cường khả năng phòng chống hiệu quả.    

MỘT SỐ XU HƯỚNG TOÀN CẦU CỦA PHẦN MỀM TỐNG TIỀN NĂM 2024

Dữ liệu từ Kaspersky Security Network (KSN) cho thấy một số xu hướng nổi bật của ransomware năm 2024 bao gồm:

- Sự thống trị của mô hình Ransomware-as-aService (RaaS): Mô hình RaaS tiếp tục là phương thức chính của các cuộc tấn công ransomware, làm tăng đáng kể số lượng các vụ việc bằng cách giảm bớt các rào cản kỹ thuật cho tội phạm mạng.

- Xu hướng hoạt động đa nền tảng và nhắm mục tiêu chính vào người dùng Windows: Các cuộc tấn công ransomware vẫn chủ yếu nhắm vào các hệ thống Windows do sự phổ biến rộng rãi của hệ điều hành này trong các doanh nghiệp. Tuy nhiên, bên cạnh Windows, ransomware đa nền tảng đang ngày càng được chú ý, cho thấy sự chuyển dịch sang khai thác các cơ sở hạ tầng đa dạng hơn, đặc biệt khi các tổ chức ngày càng triển khai hệ thống đám mây và kết hợp.

- Tổng số tiền thanh toán cho các vụ tấn công ransomware giảm nhưng số tiền thanh toán trung bình tăng: năm 2024 chứng kiến sự sụt giảm đáng kể trong tổng số tiền thanh toán cho ransomware, chỉ còn khoảng 813,55 triệu USD so với mức kỷ lục 1,25 tỷ USD vào năm 2023. Sự sụt giảm này có thể là nhờ vào các chiến dịch trấn áp mạnh mẽ của  cơ quan thực thi pháp luật, những cải tiến đáng kể trong an ninh mạng và tăng cường nhận thức từ người dùng. Tuy nhiên, khoản thanh toán tiền chuộc trung bình lại tăng vọt từ 1.542.333 USD (năm 2023) lên đến 3.960.917 USD (năm 2024). Điều này cho thấy xu hướng các nhóm ransomware đang nhắm mục tiêu vào các tổ chức lớn hơn, có khả năng chi trả cao hơn.

- Mục tiêu chính của nhiều nhóm ransomware đã thay đổi: Thay vì chỉ tập trung mã hóa để khóa dữ liệu, kẻ tấn công ưu tiên đánh cắp thông tin nhạy cảm nhằm tối đa hóa khả năng tống tiền và lợi nhuận. Cùng với đó là sự gia tăng của các chiến thuật tống tiền kép (double extortion) cho thấy một sự dịch chuyển rõ rệt.

- Nhiều nhóm ransomware bị ngăn chặn năm 2024: Năm 2024 chứng kiến nhiều nhóm ransomware lớn phải đối mặt với sự gián đoạn hoạt động. Tuy nhiên, khi các nhóm ransomware này tan rã hoặc biến mất, các công cụ, chiến thuật và cơ sở hạ tầng của chúng vẫn thường tồn tại trong hệ sinh thái tội phạm mạng. Điều này cho phép các nhóm khác dễ dàng tiếp thu và cải tiến.

- Các nhóm tin tặc đang ngày càng phát triển các bộ công cụ tùy chỉnh riêng của mình: bao gồm các công cụ khai thác lỗ hổng, công cụ di chuyển ngang trong mạng và công cụ tấn công mật khẩu. Những công cụ này được thiết kế riêng biệt cho từng mục tiêu hoặc ngành cụ thể. Điều này khiến các cuộc tấn công trở nên khó bị vô hiệu hóa hơn đối với các hệ thống an ninh mạng.

- Các công cụ AI được sử dụng trong phát triển ransomware: Các nhóm ransomware đang dần phụ thuộc vào các công cụ hỗ trợ AI, đặc biệt trong quá trình phát triển phần mềm độc hại. Việc sử dụng các mô hình ngôn ngữ lớn (LLM) giúp mã độc tối ưu hóa quá trình phát triển và tránh bị phát hiện.

- Kỹ thuật Tự mang theo trình điều khiển dễ bị tấn công (BYOVD): Kỹ thuật này cho phép tội phạm mạng vượt qua các lớp phòng thủ bảo mật và giành quyền truy cập cấp độ hạt nhân (kernellevel access) trên các hệ thống Windows, từ đó thực hiện các hành vi độc hại một cách sâu rộng và khó bị phát hiện hơn.

Xu hướng chung của các khu vực trên thế giới

Hình 1. Tỷ lệ người dùng theo các khu vực trên thế giới bị tấn công bởi ransomware (Theo dữ liệu từ Kaspersky Security Network)

Tại các khu vực như Trung Đông và châu Á - Thái Bình Dương (APAC), ransomware đang gây ảnh hưởng lớn đến nhiều người dùng. Điều này là do quá trình chuyển đổi kỹ thuật số diễn ra nhanh chóng, làm mở rộng bề mặt tấn công và tạo ra sự khác biệt về mức độ trưởng thành an ninh mạng giữa các quốc gia. Đặc biệt, các doanh nghiệp ở APAC thường xuyên trở thành mục tiêu của các cuộc tấn công nhắm vào cơ sở hạ tầng và công nghệ vận hành, nhất là ở những quốc gia có nền kinh tế đang phát triển.

Trong khi đó, châu Âu cũng phải đối mặt với ransomware, nhưng việc thực hiện các khuôn khổ và quy định an ninh mạng chặt chẽ đã giúp ngăn chặn đáng kể một số cuộc tấn công. Nền kinh tế đa dạng cùng với khả năng phòng thủ mạnh mẽ đã khiến khu vực này ít trở thành tâm điểm của các nhóm ransomware hơn so với những khu vực đang có tốc độ tăng trưởng kỹ thuật số nhanh nhưng lại kém an toàn hơn.

CÁC MỐI ĐE DỌA MỚI NỔI VÀ XU HƯỚNG HOẠT ĐỘNG CỦA RANSOMWARE NĂM 2025

Trong năm 2025, ransomware dự kiến sẽ tiếp tục phát triển bằng cách khai thác các lỗ hổng đặc biệt và ít ngờ tới. Tội phạm mạng ngày càng nhắm mục tiêu vào các điểm truy cập thường bị bỏ qua, bao gồm các thiết bị IoT, thiết bị thông minh hoặc phần cứng bị cấu hình sai tại nơi làm việc. Chúng tận dụng triệt để bề mặt tấn công mở rộng được tạo ra bởi các hệ thống kết nối ngày càng nhiều. Khi các tổ chức tăng cường phòng thủ truyền thống, tin tặc sẽ tinh chỉnh chiến thuật, tập trung vào việc trinh sát lén lút và di chuyển ngang trong mạng để triển khai ransomware với độ chính xác cao hơn. Điều này sẽ khiến những người bảo vệ khó phát hiện và phản ứng kịp thời hơn nhiều.

Các nhóm ransomware dự kiến sẽ leo thang các chiến lược tống tiền, không chỉ dừng lại ở việc tống tiền gấp đôi mà còn áp dụng các cách tiếp cận hung hăng hơn. Chúng có thể đe dọa rò rỉ dữ liệu nhạy cảm cho các cơ quan quản lý hoặc thậm chí là đối thủ cạnh tranh của nạn nhân.

Mô hình Ransomware-as-a-Service (RaaS) sẽ tiếp tục phát triển mạnh mẽ, giúp những kẻ tấn công ít kỹ năng hơn vẫn có thể phát động các cuộc tấn công phức tạp bằng cách mua quyền truy cập vào các công cụ và bộ khai thác có sẵn.

Bên cạnh đó, căng thẳng địa chính trị cũng có thể thúc đẩy sự gia tăng của chủ nghĩa hacktivism (hoạt động tấn công mạng vì mục đích chính trị) và các chiến dịch ransomware do nhà nước tài trợ. Những chiến dịch này thường nhắm vào các tài sản quan trọng như lưới điện hoặc hệ thống chăm sóc sức khỏe, trở thành một phần của chiến tranh hỗn hợp.

Đáng chú ý, sự phát triển của các LLM được thiết kế riêng cho tội phạm mạng sẽ làm gia tăng đáng kể phạm vi và tác động của ransomware. Các LLM này được rao bán trên dark web sẽ hạ thấp rào cản kỹ thuật trong việc tạo mã độc, các chiến dịch lừa đảo (phishing) và tấn công kỹ thuật xã hội. Điều này giúp ngay cả những kẻ ít kỹ năng cũng có thể tạo ra các mồi nhử cực kỳ thuyết phục hoặc tự động triển khai ransomware. Khi các nhà phát triển ransomware tận dụng công nghệ mới để tự động hóa và tạo ra mã mới, mối đe dọa ransomware sẽ ngày càng trở nên phổ biến hơn bao giờ hết.

KHUYẾN NGHỊ THỰC HIỆN CÁC GIẢI PHÁP PHÒNG CHỐNG RANSOMWARE

Để phòng chống ransomware hiệu quả trong năm 2025, cả tổ chức và cá nhân cần áp dụng chiến lược phòng thủ nhiều lớp.

Trước hết, cần ưu tiên phòng ngừa chủ động thông qua việc vá lỗi và quản lý lỗ hổng. Vì nhiều cuộc tấn công ransomware khai thác các hệ thống chưa được vá lỗi, các tổ chức nên triển khai công cụ quản lý bản vá tự động để đảm bảo hệ điều hành, phần mềm và trình điều khiển luôn được cập nhật kịp thời. Đặc biệt với môi trường Windows, việc kích hoạt tính năng "Vulnerable Driver Blocklist" của Microsoft là cực kỳ quan trọng để ngăn chặn các cuộc tấn công BYOVD. Việc quét lỗ hổng thường xuyên và ưu tiên khắc phục các lỗi nghiêm trọng, đặc biệt trong các phần mềm phổ biến như Microsoft Exchange hoặc VMware ESXi cũng là điều cần thiết.

Thứ hai, cần tăng cường bảo mật điểm cuối và mạng bằng cách phát hiện và phân đoạn nâng cao. Điều này đòi hỏi triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) mạnh mẽ để giám sát hành vi bất thường. Phân đoạn mạng cũng quan trọng không kém giúp hạn chế sự di chuyển ngang của kẻ tấn công bằng cách cô lập các hệ thống quan trọng và sử dụng tường lửa để kiểm soát lưu lượng truy cập. Ngoài ra, việc triển khai kiến trúc không tin cậy (Zero Trust) yêu cầu xác thực liên tục để truy cập cũng là một biện pháp hiệu quả.

Cuối cùng, việc đầu tư vào sao lưu dữ liệu, đào tạo nhân viên và lập kế hoạch ứng phó sự cố là không thể thiếu. Các bản sao lưu ngoại tuyến hoặc bất biến cần được duy trì và kiểm tra thường xuyên để đảm bảo khả năng phục hồi nhanh chóng mà không cần phải trả tiền chuộc. Đồng thời, cần thực hiện các bài tập lừa đảo mô phỏng và đào tạo nhân viên để họ có thể nhận diện các email lừa đảo tinh vi, đặc biệt là những email do AI tạo ra mà FunkSec và các nhóm khác đang sử dụng để ẩn mình.

KẾT LUẬN

Năm 2025, mối đe dọa ransomware sẽ tiếp tục tiến hóa, đòi hỏi các chiến lược phòng thủ phải thích ứng linh hoạt hơn bao giờ hết. Sự gia tăng của các nhóm sử dụng AI, chiến thuật tống tiền đa cấp và khai thác các lỗ hổng mới nổi buộc các tổ chức phải tăng cường phòng thủ đa lớp. Việc kết hợp các biện pháp phòng thủ cùng với đầu tư đúng mứa vào an ninh mạng sẽ giúp các tổ chức có thể xây dựng khả năng phục hồi vững chắc trước làn sóng tấn công ransomware ngày càng tinh vi.

[Quý độc giả đón đọc Tạp chí An toàn thông tin số 3 (085) 2025 tại đây]

TÀI LIỆU THAM KHẢO

[1] https://securelist.com/state-of-ransomwarein-2025/116475/.

 

Để lại bình luận