Trong quý 3 năm 2025, các **mã độc ransomware** đã đạt đến một bước ngoặt quan trọng, với sự gia tăng kỷ lục lên 81 nền tảng rò rỉ dữ liệu (data-leak sites) đang hoạt động. Sự phát triển này được thúc đẩy bởi nhiều xu hướng đáng chú ý trong hệ sinh thái tấn công mạng.

Các nhóm tin tặc nói tiếng Anh, như Scattered Spider, đã giới thiệu dịch vụ Ransomware-as-a-Service (RaaS) đầu tiên của mình, ShinySp1d3r RaaS. Trong khi đó, nhóm LockBit đã trở lại mạnh mẽ với LockBit 5.0, cho phép các chi nhánh của mình nhắm mục tiêu vào cơ sở hạ tầng trọng yếu.

Sự Trỗi Dậy Của Mã Độc Ransomware As-a-Service (RaaS)

ShinySp1d3r RaaS: Bước Đột Phá Từ Scattered Spider

Vào cuối tháng 8 năm 2025, nhóm tin tặc Scattered Spider, vốn nổi tiếng với các chiến dịch lừa đảo (phishing) và kỹ thuật xã hội phức tạp, đã hé lộ kế hoạch phát hành nền tảng Ransomware-as-a-Service (RaaS) đầu tiên của mình, mang tên ShinySp1d3r RaaS. Thông tin này được chia sẻ thông qua một hình ảnh ghi chú đòi tiền chuộc trên Telegram.

Scattered Spider tuyên bố rằng ShinySp1d3r sẽ kết hợp chuyên môn kỹ thuật xã hội của nhóm với khả năng mã hóa gây gián đoạn, hứa hẹn đây sẽ là “dịch vụ RaaS tốt nhất từng tồn tại.”

Nếu chính thức ra mắt, ShinySp1d3r RaaS sẽ đánh dấu một cột mốc quan trọng. Đây sẽ là nền tảng RaaS lớn đầu tiên do nhóm nói tiếng Anh dẫn đầu, thách thức sự thống trị của các nhà cung cấp nói tiếng Nga như DragonForce, ALPHV và RansomHub. Các nhóm này thường yêu cầu tiền đặt cọc để đảm bảo an ninh vận hành và ít khi hợp tác với các chi nhánh nói tiếng Anh. Tìm hiểu thêm về hoạt động của Scattered Spider.

Trước đó, trong quý 2 năm 2025, Scattered Spider đã triển khai mã độc ransomware DragonForce nhắm vào các mục tiêu trong ngành bán lẻ, bảo hiểm và hàng không. Trong quý 3, nhóm này còn hợp tác với tập đoàn rò rỉ dữ liệu ShinyHunters để đánh cắp dữ liệu của Salesforce. Thông tin chi tiết về ShinyHunters.

Mặc dù một số thành viên đã bị bắt giữ, cấu trúc mạng lưới lỏng lẻo của Scattered Spider, bao gồm các thành viên tạm thời và thường là thanh thiếu niên, cho thấy nhóm có khả năng sẽ tiếp tục tinh chỉnh và phát triển dịch vụ RaaS của mình.

Sự Trở Lại Mạnh Mẽ Của LockBit 5.0 và Mục Tiêu Hạ Tầng Trọng Yếu

Vào ngày 3 tháng 9 năm 2025, LockBit đã công bố sự trở lại của mình trên diễn đàn dark-web RAMP. Sự kiện này trùng khớp với kỷ niệm sáu năm chương trình liên kết của nhóm, đánh dấu sự ra mắt của LockBit 5.0.

Phiên bản mới này rõ ràng cho phép các chi nhánh tấn công cơ sở hạ tầng trọng yếu, bao gồm các nhà máy điện hạt nhân, nhiệt điện và thủy điện. Điều này chỉ bị hạn chế nếu có một thỏa thuận chính thức với FBI.

Đây là một sự thay đổi đáng kể so với quy tắc bất thành văn trong ngành về việc tránh nhắm mục tiêu vào các cơ sở hạ tầng trọng yếu, sau những sự cố gây gián đoạn lớn như vụ tấn công Colonial Pipeline vào tháng 5 năm 2021.

Các hợp tác tương tự đã từng tạo ra những chuyển biến lớn trong quá khứ, ví dụ như vào năm 2020 khi LockBit liên kết với nhóm mã độc ransomware Maze. Phân tích chuyên sâu về LockBit 5.0 và các mối đe dọa khác trong Q3 2025.

Các tùy chọn nhắm mục tiêu mở rộng của LockBit 5.0 cho thấy một nỗ lực chiến lược nhằm giành lại vị thế thống trị và có thể là để trả đũa các hành động của cơ quan thực thi pháp luật, dẫn đến việc thu giữ cơ sở hạ tầng và bắt giữ thành viên vào đầu năm 2024.

Bằng cách khôi phục niềm tin của các chi nhánh và mở rộng các mục tiêu được phép, LockBit đặt mục tiêu tái thiết lập mình như một **mối đe dọa mạng** hàng đầu. Nhóm này tận dụng cả động cơ tài chính và câu chuyện trả thù để thu hút các đối tượng điều hành.

Liên Minh Các Nhóm Ransomware Và Sự Bùng Nổ Data-Leak Sites

Sự trở lại của LockBit nhanh chóng kéo theo một liên minh với DragonForce và Qilin, tạo thành một liên minh **mã độc ransomware** sẵn sàng chia sẻ công cụ, cơ sở hạ tầng và chiến thuật tấn công.

Liên minh này có thể đẩy nhanh việc áp dụng các chiến lược tống tiền kép (double-extortion), bao gồm mã hóa hệ thống đồng thời đánh cắp dữ liệu, và tăng cường các cuộc tấn công vào các lĩnh vực trước đây được coi là an toàn.

Trong khi đó, số lượng các trang rò rỉ dữ liệu đang hoạt động đã tăng từ 72 trong quý 2 lên 81 trong quý 3 năm 2025. Điều này phản ánh việc các nhóm nhỏ hơn đang lấp đầy khoảng trống do sự suy giảm của các đối tượng chủ chốt.

Các Mục Tiêu Và Phạm Vi Ảnh Hưởng Của Mã Độc Ransomware

Các nhóm mới nổi như Beast, The Gentlemen và Cephalus đã góp phần làm tăng 31% số lượng danh sách rò rỉ trong lĩnh vực chăm sóc sức khỏe. Đồng thời, lĩnh vực dịch vụ chuyên nghiệp, khoa học và kỹ thuật ghi nhận mức tăng 17%.

Thái Lan đã chứng kiến mức tăng kỷ lục 69% về số lần xuất hiện trên các trang rò rỉ dữ liệu từ quý 2 đến quý 3 năm 2025. Sự gia tăng này được thúc đẩy bởi sự xuất hiện của nhóm Devman2 mới thành lập.

Devman2, được xem là nhóm kế nhiệm của “Devman,” đã liệt kê 22 tổ chức chỉ trong quý này, trong khi trước đây trung bình ít hơn 10 tổ chức mỗi quý. Nhóm này đã chiếm hơn 25% số tổ chức bị tấn công ở Thái Lan trong quý 3.

Các Biện Pháp Phòng Ngừa Trước Mối Đe Dọa Leo Thang

Những xu hướng này nhấn mạnh bối cảnh ngày càng phức tạp của **mã độc ransomware**: sự tham gia của các nhà cung cấp RaaS nói tiếng Anh, các đối tượng kỳ cựu táo bạo nhắm mục tiêu vào cơ sở hạ tầng trọng yếu, các liên minh chiến lược, và những nhóm mới nổi mở rộng phạm vi tấn công trên toàn cầu.

Các tổ chức cần chuẩn bị cho sự leo thang liên tục trong quý 4 và xa hơn nữa. Việc triển khai các biện pháp kiểm soát mạnh mẽ là cần thiết, bao gồm tăng cường phòng thủ chống kỹ thuật xã hội, phân đoạn mạng (network segmentation), và khả năng phản ứng sự cố nhanh chóng để đối phó với **mối đe dọa mạng** đa diện này.

Khi phạm vi của **mã độc ransomware** mở rộng sang mọi ngành công nghiệp và khu vực, thời kỳ tự mãn đã kết thúc. Các nhà phòng thủ phải thích nghi với một kẻ thù hung hãn và khó đoán hơn, nếu không sẽ phải đối mặt với nguy cơ ngày càng tăng của các cuộc tấn công gây gián đoạn và tống tiền.