Các tổ chức châu Âu đang đối mặt với làn sóng tấn công ransomware chưa từng có, khi tội phạm mạng ngày càng áp dụng trí tuệ nhân tạo và các chiến thuật kỹ thuật xã hội tinh vi để vượt qua hàng rào phòng thủ và đẩy nhanh hoạt động của chúng.

Theo báo cáo CrowdStrike 2025 European Threat Landscape Report mới nhất, các đối thủ ransomware săn mồi lớn đã công bố khoảng 2.100 nạn nhân tại châu Âu trên hơn 100 trang rò rỉ dữ liệu chuyên dụng kể từ tháng 1 năm 2024. Châu Âu hiện là khu vực bị nhắm mục tiêu nhiều thứ hai trên toàn cầu, chỉ sau Bắc Mỹ.

Bối Cảnh Mối Đe Dọa Mạng Châu Âu

Cảnh quan mối đe dọa mạng đã trải qua một sự chuyển đổi đáng kể trong năm 2025. Đặc điểm nổi bật là sự xuất hiện của các kỹ thuật tấn công tiên tiến kết hợp sự khéo léo của con người với sự tinh vi của công nghệ.

Báo cáo chỉ ra rằng mức độ tinh vi của các kỹ thuật tấn công đã phát triển đáng kể, với việc các đối thủ sử dụng nhiều vector để xâm nhập vào mạng lưới châu Âu.

Sự Tiến Hóa của Chiến Thuật Tấn Công Ransomware

Tích Hợp Trí Tuệ Nhân Tạo (AI) vào Ransomware

Kẻ tấn công đã bắt đầu tận dụng khả năng AI để tinh gọn hoạt động, giảm đáng kể thời gian từ khi truy cập mạng ban đầu đến khi triển khai ransomware. Điều này làm tăng tốc độ và quy mô của các cuộc tấn công.

SCATTERED SPIDER, một trong những nhóm tội phạm mạng hung hãn nhất trong khu vực, là ví dụ điển hình cho xu hướng này. Năm 2024, nhóm này trung bình mất 35,5 giờ từ khi truy cập ban đầu đến khi triển khai ransomware.

Đến giữa năm 2025, khoảng thời gian này đã giảm xuống còn khoảng 24 giờ. Đây là mức giảm 33%, phản ánh hiệu quả hoạt động đạt được thông qua các công nghệ mới nổi.

Kỹ Thuật Social Engineering Tinh Vi

Voice phishing, thường được gọi là vishing, đã nổi lên như một công cụ đặc biệt hiệu quả. CrowdStrike OverWatch đã quan sát gần 1.000 sự cố liên quan đến vishing trên toàn cầu trong giai đoạn báo cáo.

Các đối tượng đe dọa ngày càng tận dụng những người bản ngữ của các khu vực mục tiêu để tăng cường hiệu quả của kỹ thuật xã hội. Ví dụ, một chiến dịch vào tháng 2 năm 2025 nhắm vào các thực thể ở Đức đã sử dụng các nhà điều hành nói tiếng Đức để phân phối TeamViewer và các công cụ truy cập từ xa, cải thiện đáng kể tỷ lệ thành công.

Các mồi nhử CAPTCHA giả mạo, còn được gọi là ClickFix, đại diện cho một xu hướng đáng báo động khác. Các cuộc tấn công social engineering tinh vi này lừa nạn nhân sao chép và thực thi mã độc trực tiếp vào hệ thống của họ.

Trong giai đoạn 2024 và 2025, CrowdStrike đã xác định hơn 1.000 sự cố ảnh hưởng đến khách hàng ở châu Âu liên quan đến các mồi nhử CAPTCHA. Điều này cho thấy tính hiệu quả và mức độ phổ biến của chiến thuật này.

Các Nhóm Tấn Công Nổi Bật và Hoạt Động

Từ tháng 1 năm 2024 đến tháng 9 năm 2025, các nhóm sau đã ảnh hưởng đến số lượng nạn nhân cao nhất ở châu Âu:

• BITWISE SPIDER
• PUNK SPIDER
• OCULAR SPIDER
• TRAVELING SPIDER
• BRAIN SPIDER

Mặc dù các chiến dịch thực thi pháp luật, như Operation Cronos nhắm vào các chi nhánh của BITWISE SPIDER và Operation Phobos Aetor tịch thu cơ sở hạ tầng 8BASE của BRAIN SPIDER, đã làm gián đoạn một số hoạt động, nhưng các đối thủ hoạt động mạnh vẫn tiếp tục gây ra các mối đe dọa mạng đáng kể.

PUNK SPIDER và TRAVELING SPIDER vẫn duy trì hoạt động liên tục, tiếp tục các chiến dịch trên khắp khu vực. Các chiến dịch này tận dụng email lừa đảo (phishing), quảng cáo độc hại (malvertising) và đầu độc tối ưu hóa công cụ tìm kiếm (SEO poisoning) để hướng mục tiêu đến các trang xác thực giả mạo được lưu trữ trên cơ sở hạ tầng của kẻ tấn công.

Trong bối cảnh căng thẳng Israel-Iran vẫn ở mức cao, các đối thủ liên quan đến Iran có khả năng sẽ tiếp tục nhắm mục tiêu vào Israel và các đồng minh phương Tây có liên quan đến cuộc xung đột thông qua các nỗ lực mạo danh và các chiến dịch spear-phishing.

Mục Tiêu Chính và Động Lực Tấn Công

Vương quốc Anh, Đức, Ý, Pháp và Tây Ban Nha nổi lên là những quốc gia bị nhắm mục tiêu nhiều nhất. Các ngành sản xuất, dịch vụ chuyên nghiệp, công nghệ và bán lẻ đối mặt với rủi ro lớn nhất từ các cuộc tấn công ransomware.

Dữ liệu về tống tiền đã tăng gần 13% so với cùng kỳ năm trước, từ khoảng 1.220 mục lên 1.380 giữa các giai đoạn tháng 9. Điều này cho thấy bản chất dai dẳng và ngày càng tăng tốc của mối đe dọa.

Các tổ chức châu Âu là mục tiêu đặc biệt hấp dẫn đối với các nhà điều hành ransomware. Khu vực này chứa 5 trong số 10 công ty có giá trị nhất thế giới, cho phép các đối tượng đe dọa đòi tiền chuộc đáng kể dựa trên doanh thu của nạn nhân.

Ngoài ra, Quy định chung về bảo vệ dữ liệu (GDPR) đã trở thành một chiến thuật gây áp lực. Tội phạm đe dọa báo cáo việc không tuân thủ quy định để tống tiền, buộc nạn nhân phải trả tiền chuộc để tránh các hình phạt pháp lý và thiệt hại danh tiếng.

Một hệ sinh thái ngầm được tổ chức cao, có thể truy cập thông qua các diễn đàn tiếng Nga và tiếng Anh, cung cấp các dịch vụ hỗ trợ tinh vi. Bao gồm các dịch vụ phần mềm độc hại dưới dạng dịch vụ (malware-as-a-service) và môi giới truy cập ban đầu.

Chiến Lược An Ninh Mạng Để Đối Phó

Sự kết hợp của công nghệ AI, các kỹ thuật social engineering đã được chứng minh và dịch vụ hỗ trợ từ hệ sinh thái ngầm đã tạo ra một sự thay đổi cơ bản trong các hoạt động tấn công ransomware. Các tổ chức trên khắp châu Âu phải đối mặt không chỉ với các mối đe dọa mạng truyền thống mà còn với những đối thủ được trang bị công cụ thông minh giúp đẩy nhanh quá trình xâm nhập và tăng cường hiệu quả tấn công.

Sự hội tụ này đòi hỏi các chiến lược phòng thủ tinh vi không kém và các phương pháp an ninh mạng chủ động để đối phó với cảnh quan ransomware đang phát triển. Việc đầu tư vào threat intelligence và các giải pháp bảo mật đa lớp là cần thiết để bảo vệ dữ liệu và hệ thống khỏi các cuộc tấn công ngày càng phức tạp.