Tình hình ransomware trong năm 2025 đã đạt đến những đỉnh cao mới, chuyển từ một vấn đề an ninh mạng thành một mối đe dọa chiến lược đối với an ninh quốc gia và ổn định kinh tế toàn cầu. Năm nay, số lượng các cuộc tấn công tăng từ 34%–50% so với năm 2024, với 4.701 sự cố được xác nhận trên toàn cầu chỉ từ tháng 1 đến tháng 9, nhấn mạnh ransomware là một trong những mối đe dọa dai dẳng và tàn khốc nhất trong lịch sử hiện đại.

Tuy nhiên, ẩn sau những số liệu thống kê đáng báo động này là một nghịch lý: trong khi khối lượng tấn công tăng vọt, tỷ lệ thanh toán tiền chuộc đã giảm xuống mức thấp kỷ lục 23-25%, buộc các tác nhân đe dọa phải định hình lại mô hình kinh doanh và chiến thuật tống tiền một cách cơ bản.

Tổng Quan Về Tình Hình Ransomware Năm 2025

Năm 2025 được đặc trưng bởi sự phân mảnh đáng kể của hệ sinh thái ransomware sau các hoạt động trấn áp của cơ quan thực thi pháp luật đối với các nhóm lớn như LockBit và ALPHV/BlackCat. Điều này dẫn đến sự xuất hiện của 45 nhóm mới được quan sát và nâng tổng số các hoạt động tống tiền đang hoạt động lên mức kỷ lục 85 tác nhân đe dọa riêng biệt.

Sự phân quyền này trùng hợp với những tiến hóa tinh vi trong phương pháp tấn công, bao gồm việc áp dụng rộng rãi các chiến thuật tống tiền kép và ba lớp, các chiến dịch lừa đảo được tăng cường bởi AI, và khai thác có mục tiêu vào cơ sở hạ tầng đám mây và hệ thống công nghệ vận hành.

Điều đáng lo ngại nhất là việc nhắm mục tiêu có chủ đích vào các lĩnh vực hạ tầng trọng yếu, với sản xuất, y tế, năng lượng, giao thông vận tải và tài chính chiếm 50% tổng số các cuộc tấn công. Điều này cho thấy ransomware đã vượt ra ngoài nguồn gốc tội phạm của nó để trở thành một vũ khí có khả năng gây bất ổn cho toàn bộ ngành công nghiệp và đe dọa an toàn công cộng.

Xu Hướng Tấn Công và Tác Động Tài Chính của Ransomware

Tần Suất Tấn Công Gia Tăng

Nền kinh tế ransomware trong năm 2025 đã trải qua một bước ngoặt, được đánh dấu bằng tần suất tấn công chưa từng có và lợi nhuận tài chính sụt giảm đối với tội phạm mạng. Từ tháng 1 đến tháng 9 năm 2025, các nhà nghiên cứu đã ghi nhận 4.701 sự cố ransomware được xác nhận trên toàn thế giới, tăng 34% so với cùng kỳ năm 2024.

Đến tháng 10, tổng số tích lũy đạt 6.330 trường hợp được phơi bày trên các trang rò rỉ dữ liệu dark web, tăng đáng kinh ngạc 47% so với 4.293 trường hợp được ghi nhận trong cùng khung thời gian năm 2024. Sự gia tăng này khiến các tổ chức phải trải qua trung bình 1.984 cuộc tấn công mạng mỗi tuần trong Quý 2 năm 2025, với ransomware chiếm một phần đáng kể.

Xu hướng hàng tháng cho thấy sự leo thang liên tục trong suốt cả năm. Các cuộc tấn công ransomware tăng lên 623 sự cố chỉ riêng trong tháng 10 năm 2025, tăng hơn 30% so với tháng 9 và đại diện cho tổng số hàng tháng cao thứ hai được ghi nhận, chỉ bị vượt qua bởi đỉnh điểm tháng 2 năm 2025.

Đây là tháng thứ sáu liên tiếp hoạt động ransomware gia tăng, nhấn mạnh tính chất dai dẳng và gia tăng của mối đe dọa. Nhịp độ tấn công toàn cầu đạt cường độ cao đến mức vào Quý 3 năm 2025, một tổ chức trên thế giới trung bình cứ khoảng 19 giây lại trở thành nạn nhân của ransomware.

Mục Tiêu Địa Lý và Rủi Ro

Mục tiêu địa lý vẫn tập trung nhiều ở các quốc gia phát triển kinh tế. Hoa Kỳ tiếp tục gánh chịu phần lớn hoạt động ransomware toàn cầu, chiếm khoảng 1.000 sự cố, xấp xỉ 21% tổng số các cuộc tấn công năm 2025.

Tiếp theo Hoa Kỳ, Canada trải qua 361 cuộc tấn công, đứng thứ hai trong số các quốc gia, sau đó là Đức, Vương quốc Anh và Ý.

Đáng chú ý là sự xuất hiện của Úc trong danh sách năm mục tiêu hàng đầu, với quốc gia này trải qua mức tăng 67% trong tổng số cuộc tấn công, khi nguồn tài nguyên phong phú và GDP bình quân đầu người cao khiến nước này trở thành mục tiêu ngày càng hấp dẫn đối với các tác nhân đe dọa.

Khủng Hoảng Mô Hình Kinh Doanh Ransomware

Trong khi khối lượng tấn công tăng vọt, mô hình kinh doanh ransomware đối mặt với một cuộc khủng hoảng hiện sinh khi các tổ chức nạn nhân ngày càng từ chối thanh toán các yêu cầu tống tiền. Trong Quý 3 năm 2025, chỉ 23% nạn nhân ransomware thanh toán tiền chuộc, với tỷ lệ giảm xuống chỉ còn 19% đối với các sự cố đánh cắp dữ liệu không liên quan đến mã hóa.

Đến Quý 4 năm 2024, công ty phản ứng sự cố Coveware báo cáo tỷ lệ nạn nhân thanh toán tiền chuộc giảm xuống mức thấp nhất mọi thời đại là 25%, nghĩa là 3 trong 4 tổ chức có thể khôi phục hoạt động và quản lý sự cố mà không cần tài trợ cho tội phạm.

Sự sụt giảm đáng kể này trong tỷ lệ thanh toán là kết quả của sự hội tụ của ba lực lượng mạnh mẽ: khả năng sao lưu và phục hồi được cải thiện giúp giảm sự phụ thuộc của các tổ chức vào việc thanh toán để có khóa giải mã, nhận thức ngày càng tăng rằng việc thanh toán tiền chuộc thường không ngăn chặn rò rỉ dữ liệu hoặc đảm bảo khôi phục tệp, và các tư thế bảo mật thông tin ngày càng vững chắc cho phép phát hiện và phản ứng nhanh hơn.

Xu hướng này đại diện cho mối đe dọa hiện sinh lớn nhất đối với mô hình kinh doanh ransomware, vì tội phạm này phụ thuộc cơ bản vào một phép tính lợi tức đầu tư đơn giản. Khi tỷ lệ chuyển đổi giảm mạnh, toàn bộ mô hình kinh tế bắt đầu thất bại, buộc những kẻ tấn công phải làm việc chăm chỉ hơn gấp bội để kiếm được mỗi đô la.

Tác Động Tài Chính

Tác động tài chính rất rõ ràng. Mặc dù có nhiều cuộc tấn công hơn, tổng doanh thu ransomware đã giảm hơn một phần ba so với năm trước, với các khoản thanh toán toàn cầu giảm từ ước tính 1,1 tỷ USD năm 2023 xuống khoảng 813,6 triệu USD năm 2024.

Các khoản thanh toán tiền chuộc trung bình trong Quý 3 năm 2025 giảm mạnh xuống 376.941 USD, giảm 66% so với Quý 2 năm 2025, trong khi các khoản thanh toán trung vị giảm 65% xuống 140.000 USD. Điều này phản ánh các động lực giao thoa của xu hướng thanh toán giảm và một sự điều chỉnh thị trường cơ bản trong hệ sinh thái ransomware.

Tuy nhiên, đối với các tổ chức tuân thủ yêu cầu tống tiền, gánh nặng tài chính là chưa từng có. Khoản thanh toán tiền chuộc trung bình tăng vọt 500% từ khoảng 400.000 USD năm 2023 lên 2,0 triệu USD năm 2024, được thúc đẩy bởi sự phổ biến ngày càng tăng của các sự kiện tống tiền trị giá hàng triệu đô la nhắm vào các doanh nghiệp lớn.

Năm 2024, 63% yêu cầu tiền chuộc vượt quá 1 triệu USD, cho thấy một sự thay đổi rõ rệt trong số những kẻ tấn công hướng tới các mục tiêu “con mồi lớn” có giá trị cao. Một khoản thanh toán phá kỷ lục 75 triệu USD đã được thực hiện vào năm 2024, làm tăng đáng kể mức trung bình và minh họa rủi ro cao liên quan đến các cuộc tấn công ransomware hiện đại.

Các Nhóm Ransomware Nổi Bật Năm 2025

Phân Mảnh và Thay Đổi Cấu Trúc

Hệ sinh thái ransomware năm 2025 đã trải qua một sự chuyển đổi cấu trúc sâu sắc được đặc trưng bởi sự phân mảnh và phân quyền chưa từng có. Số lượng các trang rò rỉ dữ liệu đang hoạt động tăng vọt lên mức kỷ lục 81 trong Quý 3 năm 2025, khi các nhóm ransomware nhỏ hơn lấp đầy khoảng trống do các hoạt động lớn hơn bị trấn áp bởi cơ quan thực thi pháp luật.

Trong suốt năm 2025, 45 nhóm ransomware mới được quan sát đã xuất hiện, với 14 nhóm mới bắt đầu công bố nạn nhân chỉ riêng trong Quý 3. Đến tháng 9 năm 2025, các nhà nghiên cứu đã quy trách nhiệm các sự cố cho 66 nhóm đang hoạt động khác nhau, đánh dấu mức cao nhất trong 5 năm về số lượng tác nhân đe dọa riêng biệt hoạt động đồng thời.

Sự phân mảnh này theo sau việc đóng cửa hoặc ngừng hoạt động của một số thương hiệu Ransomware-as-a-Service (RaaS) lớn trong năm 2025, bao gồm RansomHub (ngừng hoạt động vào tháng 4), cùng với các gián đoạn hoạt động ảnh hưởng đến 8Base, BianLian và Cactus. Thị phần của 10 nhóm hoạt động tích cực nhất giảm mạnh: trong Quý 1 năm 2025, họ chiếm 71% tổng số bài đăng trên trang rò rỉ dữ liệu, nhưng thị phần của họ giảm xuống 63% trong Quý 2 và chỉ còn 56% vào Quý 3.

Sự phân mảnh liên tục này đã làm xói mòn độ tin cậy của các nhà điều hành ransomware, vì các nạn nhân truyền thống dựa vào danh tiếng của kẻ tấn công để cung cấp khóa giải mã sau khi thanh toán. Các thương hiệu RaaS lớn duy trì các ưu đãi thương mại để bảo toàn uy tín, nhưng các nhóm nhỏ hơn, tồn tại ngắn ngủi lại thiếu những ràng buộc đó, góp phần làm giảm tỷ lệ thanh toán.

Các nhóm mới xuất hiện năm 2025 đã chứng tỏ khả năng tinh vi ngay từ đầu. Những cái tên đáng chú ý bao gồm Arkana Security, nổi lên sau một vụ vi phạm ISP lớn của Hoa Kỳ; AiLock, bị nghi ngờ được hỗ trợ bởi AI và cố tình tự quảng cáo như vậy; Kairos/Kairos V2, tập trung độc quyền vào việc đánh cắp dữ liệu và tống tiền; và Weyhro, sử dụng các mẫu rửa tiền liên kết đặc biệt.

Mô hình Ransomware-as-a-Service tiếp tục phát triển mạnh mẽ bất chấp áp lực của cơ quan thực thi pháp luật, làm giảm rào cản gia nhập và cho phép nhiều tội phạm tham gia vào các hoạt động tinh vi.

Theo mô hình kinh doanh này, các nhà phát triển cho thuê công cụ ransomware cho các chi nhánh để đổi lấy một phần lợi nhuận, thường là 20-30%, giúp các khả năng tấn công nâng cao có thể tiếp cận được với các tác nhân thiếu kỹ năng phát triển kỹ thuật. Mô hình nhượng quyền này đã thúc đẩy sự gia tăng các sự cố và tăng tốc sự đa dạng hóa của bối cảnh đe dọa.

Qilin: Nhóm Hoạt Động Mạnh Mẽ Nhất

Qilin nổi lên là hoạt động ransomware thống trị nhất vào năm 2025, tuyên bố 701 nạn nhân vào tháng 10, đã vượt qua 547 nạn nhân của RansomHub trong cả năm 2024. Nhóm này, xuất hiện lần đầu vào năm 2022 dưới tên “Agenda”, chỉ bắt đầu thu hút sự chú ý nghiêm túc vào năm 2023 với 45 tuyên bố tấn công.

Số lượng nạn nhân của nhóm tăng lên 179 vào năm 2024 trước khi tăng gấp bốn lần vào năm 2025. Đến tháng 10 năm 2025, Qilin đã là nhóm ransomware hoạt động tích cực nhất trong sáu tháng liên tiếp, với 210 nạn nhân chỉ riêng trong tháng 10, gấp ba lần so với Akira đứng thứ hai.

Qilin hoạt động như một nền tảng Ransomware-as-a-Service rất tinh vi, sử dụng các payload ransomware dựa trên Rust và ngôn ngữ C được hỗ trợ bởi các tính năng nâng cao bao gồm thực thi Chế độ an toàn, công cụ đàm phán tự động và khả năng lan truyền mạng.

Nhóm này sử dụng tống tiền kép, mã hóa các tệp của nạn nhân, yêu cầu tiền chuộc để giải mã, và trích xuất dữ liệu nhạy cảm, đe dọa phát hành nó ngay cả khi tiền chuộc được thanh toán.

Một phần của sự trỗi dậy mạnh mẽ của Qilin được cho là do sự đổ bộ của các chi nhánh từ các nhóm đối thủ đã ngừng hoạt động, đặc biệt sau khi RansomHub đột ngột ngừng hoạt động vào tháng 4 năm 2025. Điều này trùng hợp với mức tăng 280% trong các tuyên bố tấn công của Qilin, từ 185 vào cuối tháng 4 lên 701 vào tháng 10.

Việc nhắm mục tiêu của nhóm vẫn tập trung chiến lược vào các lĩnh vực có tác động cao. Các nhà sản xuất chiếm 143 cuộc tấn công được xác nhận, các công ty dịch vụ 108, các công ty tài chính 69, các nhà bán lẻ 50 và các công ty xây dựng 34.

Qilin đã chứng tỏ thành công đặc biệt trong việc khai thác các lỗ hổng chưa được vá của Fortinet, bao gồm CVE-2024-21762(Chi tiết CVE-2024-21762) và CVE-2024-55591(Chi tiết CVE-2024-55591), cho phép nhóm này xâm nhập vào các tường lửa FortiGate từ tháng 5 đến tháng 6 năm 2025.

Sự trưởng thành trong hoạt động của nhóm còn được thể hiện rõ qua việc họ đưa ra các chiến thuật gây áp lực pháp lý, đe dọa nạn nhân bằng việc báo cáo quy định và thông báo cho các bên liên quan để tối đa hóa đòn bẩy tống tiền.

Các cuộc tấn công đáng chú ý của Qilin năm 2025 bao gồm vụ vi phạm nghiêm trọng nhà cung cấp dịch vụ bệnh lý Synnovis của Anh vào tháng 6, yêu cầu 50 triệu USD tiền chuộc và dẫn đến việc đánh cắp 400GB dữ liệu bệnh nhân ảnh hưởng đến hơn 900.000 cá nhân.

Cuộc tấn công này đã gây gián đoạn đáng kể cho các bệnh viện NHS (Tham khảo thông tin NHS) trên khắp đông nam London, buộc phải hủy bỏ hơn 800 ca phẫu thuật đã lên kế hoạch và 700 cuộc hẹn khám bệnh ngoại trú, và sau đó được xác nhận là một yếu tố góp phần vào cái chết của một bệnh nhân. Tại Pháp, cuộc tấn công của Qilin vào Vùng Hauts-de-France đã ảnh hưởng đến 80% trường trung học trong khu vực với các gián đoạn hệ thống, với nhóm này tuyên bố đã đánh cắp 1,1 TB dữ liệu.

Cl0p: Chuyển Dịch Sang Tống Tiền Dữ Liệu Thuần Túy

Cl0p (còn được viết là CL0P) trở lại nổi bật là tác nhân ransomware hiệu quả nhất trong Quý 1 năm 2025, khai thác các lỗ hổng zero-day mới trong các sản phẩm truyền tệp được quản lý bởi Cleo để tuyên bố 392 nạn nhân được công khai, hơn 300 trong số đó là kết quả của chiến dịch Cleo (Chi tiết lỗ hổng Cleo).

Nhóm này, liên kết với tổ chức đe dọa TA505 lớn hơn và hoạt động từ năm 2019, đã tự phân biệt bằng cách dựa chiến lược vào việc trích xuất dữ liệu hàng loạt và tống tiền thay vì mã hóa, tập trung vào việc tận dụng các lỗ hổng zero-day trong các nền tảng của bên thứ ba được sử dụng rộng rãi để xâm phạm các nhà cung cấp dịch vụ và sau đó truy cập dữ liệu khách hàng.

Sự phát triển hoạt động của Cl0p thể hiện sự dịch chuyển từ các chiến thuật ransomware truyền thống sang tống tiền dữ liệu thuần túy. Nhóm này chuyên khai thác các lỗ hổng SQL injection và bỏ qua xác thực trong các ứng dụng phần mềm truyền tệp, tiến hành các cuộc tấn công zero-day hàng loạt.

Sau các chiến dịch có tác động cao trước đó nhắm vào GoAnywhere MFT vào đầu năm 2023 và MOVEit Transfer (Lỗ hổng MOVEit Transfer) vào giữa năm 2023, hoạt động của Cl0p năm 2025 tập trung vào việc khai thác các lỗ hổng CVE-2024-50623 và CVE-2024-55956 trong các sản phẩm Harmony, VLTrader và LexiCom của Cleo bắt đầu vào tháng 12 năm 2024.

Vào tháng 10 năm 2025, Cl0p đã phát động một cuộc tấn công chuỗi cung ứng lớn khác bằng cách khai thác một lỗ hổng nghiêm trọng (CVE-2025-61882) trong các phiên bản Oracle E-Business Suite 12.2.3–12.2.14 để đạt được thực thi mã từ xa thông qua server-side request forgery (SSRF).

Nhóm này buộc các ứng dụng mục tiêu phải tìm nạp và thực thi các payload XSL độc hại, sử dụng điều này làm điểm truy cập để đánh cắp dữ liệu mà không triển khai mã hóa ransomware truyền thống. Cuộc tấn công này chứng tỏ sự tập trung liên tục của Cl0p vào các nền tảng doanh nghiệp có giá trị cao và khả năng vũ khí hóa nhanh chóng các lỗ hổng mới được phát hiện.

Phương pháp tấn công của Cl0p ưu tiên sự lén lút và tốc độ. Nhóm này thường có được quyền truy cập thông qua khai thác zero-day, di chuyển ngang bằng cách sử dụng các công cụ như Mimikatz, PsExec và Cobalt Strike, vô hiệu hóa Windows Defender và các quy trình sao lưu, trích xuất dữ liệu bằng các công cụ tùy chỉnh như công cụ trích xuất Teleport, và chỉ mã hóa chọn lọc các tệp khi giá trị chiến thuật biện minh cho bước bổ sung.

Từ năm 2021, Cl0p phần lớn đã chuyển mô hình hoạt động của mình sang chỉ tống tiền dữ liệu, tránh mã hóa trong các chiến dịch gần đây để tập trung duy nhất vào việc trích xuất dữ liệu hàng loạt mà không thiết lập sự tồn tại hoặc triển khai ransomware.

Các chiến thuật tống tiền hung hãn của nhóm mở rộng ra ngoài các yêu cầu tiền chuộc truyền thống để bao gồm các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và quấy rối các bên liên quan, liên hệ với nhân viên, khách hàng, đối tác và phương tiện truyền thông bị ảnh hưởng để gây áp lực buộc các công ty bị vi phạm phải thanh toán.

Thành công của Cl0p trong các cuộc tấn công chuỗi cung ứng đã cho phép nhóm truy cập hàng nghìn nạn nhân đồng thời; riêng lỗ hổng MOVEit Transfer đã ảnh hưởng đến hơn 3.000 thực thể Hoa Kỳ và 8.000 tổ chức trên toàn cầu vào năm 2023. Kể từ khi xuất hiện vào năm 2019, Cl0p đã tống tiền hơn 500 triệu USD tiền chuộc và ảnh hưởng trực tiếp đến hàng nghìn tổ chức và hàng chục triệu cá nhân trên toàn thế giới.

LockBit: Sự Hồi Sinh Sau Trấn Áp

LockBit đã thể hiện khả năng phục hồi đáng kể vào năm 2025, tái xuất hiện sau khi bị gián đoạn bởi Operation Cronos vào đầu năm 2024 và tái xuất hiện với LockBit 5.0 (còn gọi là “ChuongDong”) vào tháng 9 năm 2025. Cho đến khi bị đánh sập, LockBit (Tham khảo về LockBit) là hoạt động RaaS thống trị nhất toàn cầu, chịu trách nhiệm về 20-30% tổng số bài đăng nạn nhân trên các trang rò rỉ dữ liệu.

Sau hành động thực thi pháp luật làm tổn hại bảng điều khiển quản trị và dẫn đến các vụ bắt giữ và thu giữ dữ liệu, các chương trình ransomware cạnh tranh như RansomHub và Qilin đã cố gắng thu hút các chi nhánh của LockBit. Tuy nhiên, quản trị viên của LockBit, LockBitSupp, đã trốn thoát và duy trì thái độ bất chấp công khai, đăng vào tháng 5 năm 2025 trên diễn đàn RAMP: “Chúng tôi luôn đứng dậy sau khi bị tấn công”.

Đến tháng 8 năm 2025, LockBitSupp tái xuất hiện tuyên bố nhóm đang “trở lại làm việc”, một tuyên bố được chứng minh là chính xác khi Check Point Research xác nhận hoạt động hồi sinh đã nhắm mục tiêu ít nhất một tá tổ chức trong suốt tháng 9 năm 2025.

Một nửa số nạn nhân này bị nhiễm biến thể LockBit 5.0 mới, trong khi phần còn lại bị nhắm mục tiêu bằng LockBit 3.0 (còn gọi là LockBit Black). Các cuộc tấn công trải rộng khắp Tây Âu, Châu Mỹ và Châu Á, ảnh hưởng đến cả hệ thống Windows và Linux—bằng chứng rõ ràng cho thấy cơ sở hạ tầng và mạng lưới chi nhánh của LockBit đã hoạt động trở lại hoàn toàn.

LockBit 5.0 giới thiệu một số cải tiến kỹ thuật được thiết kế để cải thiện hiệu quả, an ninh mạng và sự lén lút. Các bản cập nhật chính bao gồm hỗ trợ đa nền tảng với các bản dựng mới cho Windows, Linux và ESXi; các cơ chế né tránh mạnh mẽ hơn, kết hợp các tính năng chống phân tích nâng cao để cản trở điều tra pháp y; mã hóa nhanh hơn thông qua các quy trình được tối ưu hóa giúp giảm thời gian phản hồi cho các nhà phòng thủ; và các định danh mới, sử dụng phần mở rộng tệp 16 ký tự ngẫu nhiên để né tránh phát hiện.

Mã độc ransomware này cũng duy trì các chức năng cốt lõi để duy trì tính nhất quán trong hoạt động trong khi giới thiệu các cải tiến đáng kể nhằm làm phức tạp phân tích và trì hoãn việc phát triển các chữ ký phát hiện.

Để tham gia lại hoạt động, các chi nhánh được yêu cầu gửi khoảng 500 USD bằng Bitcoin để truy cập bảng điều khiển và trình mã hóa—một mô hình nhằm duy trì tính độc quyền và sàng lọc những người tham gia. Các ghi chú tiền chuộc được cập nhật tự nhận là LockBit 5.0 và bao gồm các liên kết đàm phán được cá nhân hóa, cho nạn nhân thời hạn 30 ngày trước khi dữ liệu bị đánh cắp được công bố.

Mô hình Ransomware-as-a-Service của nhóm đã kích hoạt thành công cơ sở chi nhánh của mình, với các cuộc tấn công được quan sát trên cả hệ thống Windows (khoảng 80% mục tiêu) và môi trường ESXi/Linux (LockBit 5.0 tấn công ESXi/Linux) (khoảng 20%).

Mặc dù bị tổn hại danh tiếng từ hoạt động thực thi pháp luật và việc công khai dữ liệu nội bộ của chi nhánh và nạn nhân, sự trỗi dậy của LockBit vào dịp kỷ niệm sáu năm thành lập đã chứng tỏ quyết tâm duy trì vị trí thị trường của nhóm.

Tuy nhiên, nhóm này đối mặt với áp lực liên tục: vào tháng 5 năm 2025, cơ sở hạ tầng của LockBit đã bị xâm phạm và phá hoại lần nữa, dẫn đến việc rò rỉ dữ liệu phơi bày địa chỉ ví Bitcoin, khóa mã hóa công khai, nhật ký trò chuyện nội bộ với nạn nhân, chi tiết chi nhánh và các thông tin nhạy cảm khác.

Play: Công Cụ Tinh Vi và Chiến Thuật Độc Đáo

Nhóm ransomware Play nổi lên là một trong những tác nhân đe dọa tích cực và nguy hiểm nhất vào năm 2024 và 2025. Xuất hiện lần đầu vào giữa năm 2022, Play (còn gọi là Playcrypt hoặc Balloonfly) đã tăng tốc hoạt động một cách đáng kể, tấn công khoảng 900 tổ chức vào tháng 5 năm 2025—tăng gấp ba lần so với khoảng 300 tổ chức bị xâm phạm khi CISA và FBI đưa ra khuyến cáo trước đó vào tháng 12 năm 2023.

Nhóm này nằm trong số các nhà điều hành ransomware tích cực nhất vào năm 2024 và duy trì tình trạng đó vào năm 2025. Play hoạt động như một nhóm ransomware khép kín được thiết kế để “đảm bảo tính bí mật của” các hoạt động, tiến hành các cuộc tấn công ở Bắc Mỹ, Nam Mỹ và Châu Âu trên nhiều lĩnh vực, bao gồm các nhà cung cấp dịch vụ y tế, sản xuất, dịch vụ CNTT và các thực thể hạ tầng trọng yếu.

Nhóm này sử dụng các chiến thuật tống tiền kép, đánh cắp dữ liệu nhạy cảm trước khi mã hóa tệp và yêu cầu tiền chuộc cả để có khóa giải mã và để ngăn chặn việc công bố thông tin bị trích xuất. Nạn nhân được gửi yêu cầu tiền chuộc yêu cầu họ liên hệ với nhóm qua địa chỉ email kết thúc bằng @gmx.de hoặc @web.de, với tiền chuộc được thanh toán bằng tiền điện tử đến các địa chỉ ví do các tác nhân Play cung cấp.

Các phương pháp truy cập ban đầu của nhóm bao gồm lạm dụng thông tin xác thực cho các tài khoản hợp lệ, khai thác các lỗ hổng trong các ứng dụng hướng ra công chúng (đặc biệt là các lỗ hổng FortiOS CVE-2018-13379, CVE-2020-12812(Top 30 lỗ hổng bị nhắm mục tiêu) và các lỗ hổng Microsoft Exchange CVE-2022-41040, CVE-2022-41082), và tận dụng Remote Desktop Protocol (RDP) và Virtual Private Networks (VPN).

Trong một sự leo thang đáng kể, các tác nhân đe dọa Play đã khai thác CVE-2025-29824, một lỗ hổng leo thang đặc quyền trong trình điều khiển Common Log File System (CLFS) của Microsoft Windows, như một lỗ hổng zero-day trước khi Microsoft vá lỗi.

Sự tinh vi kỹ thuật của Play được chứng minh bằng việc nhóm sử dụng các công cụ chuyên dụng và chiến thuật né tránh. Nhóm này sử dụng AdFind để chạy các truy vấn Active Directory, Grixba (một công cụ đánh cắp thông tin tùy chỉnh) để liệt kê thông tin mạng và quét phần mềm chống vi-rút, GMER, IOBit và PowerTool để xóa các tệp nhật ký và vô hiệu hóa phần mềm bảo mật, các tập lệnh PowerShell để vô hiệu hóa Microsoft Defender, PsExec để di chuyển ngang và thực thi tệp, và Mimikatz để lấy thông tin xác thực quản trị viên miền.

Play biên dịch lại binary ransomware của mình cho mỗi cuộc tấn công, dẫn đến các hash duy nhất cho mỗi lần triển khai và làm phức tạp việc phát hiện phần mềm độc hại. Các nạn nhân đáng chú ý của Play bao gồm Microsoft Cuba, Thành phố Oakland, chính phủ Thụy Sĩ và Quận Dallas, với một số cuộc tấn công có tác động quốc tế ảnh hưởng đến hàng trăm nghìn khách hàng đồng thời.

Nhóm này phân phối các payload ransomware trên các hệ thống thông qua Group Policy Objects được thực thi dưới dạng các tác vụ đã lên lịch, cho phép mã hóa có hệ thống các tệp trên các mạng trong khi né tránh phát hiện bởi hầu hết các giải pháp bảo mật điểm cuối.

Play cung cấp sự bí mật hoàn toàn cho các công ty thanh toán tiền chuộc, trong khi những công ty từ chối thanh toán ngay lập tức bị công khai tất cả dữ liệu trực tuyến và chi tiết khai thác được đăng lên blog Tor của nhóm.

Akira: Nhắm Mục Tiêu Doanh Nghiệp Quy Mô Vừa

Akira nổi lên như một mối đe dọa đang gia tăng nhanh chóng hỗ trợ các cuộc tấn công trên cả môi trường Windows và Linux, ngày càng nhắm mục tiêu vào các doanh nghiệp quy mô vừa thông qua mô hình Ransomware-as-a-Service đang phát triển. Biến thể ransomware này, được xác định lần đầu tiên vào Quý 1 năm 2023, sử dụng mã hóa ChaCha2008 và xâm nhập hệ thống thông qua email lừa đảo và lỗ hổng VPN.

Akira duy trì hoạt động nhất quán trong số các nhóm hoạt động tích cực nhất trong suốt năm 2025, tuyên bố số nạn nhân cao thứ hai vào tháng 10 với 70 cuộc tấn công, và cho thấy mức tăng 9,7% hoạt động vào tháng 6 so với các tháng trước.

Nhóm này sử dụng các chiến thuật tinh vi, bao gồm LOLBins (Living Off the Land Binaries) (Kỹ thuật Living Off the Land) và credential dumping, để né tránh phát hiện và giành đặc quyền, đồng thời sử dụng mã hóa xen kẽ để tránh các giải pháp bảo mật và xóa các bản sao bóng để cản trở quá trình phục hồi.

Chuỗi tấn công của Akira thường bao gồm truy cập ban đầu thông qua thông tin xác thực bị xâm phạm hoặc lừa đảo, trinh sát bằng các công cụ như Sharphound và ADFind, đánh cắp thông tin xác thực thông qua Mimikatz và Rubeus để thực hiện các cuộc tấn công AS-REP Roasting và Kerberoasting, di chuyển ngang bằng cách sử dụng SMB transfers và RDP, trích xuất dữ liệu trước khi mã hóa, và triển khai ransomware cuối cùng với các yêu cầu từ mức trung bình đến đáng kể tùy thuộc vào hồ sơ của mục tiêu.

Trong suốt năm 2025, Akira đã thể hiện khả năng thích ứng và sự bền bỉ trên các lĩnh vực đa dạng. Nhóm này nhắm mục tiêu vào hạ tầng trọng yếu, bao gồm các nhà cung cấp dịch vụ y tế, các cơ sở sản xuất, các công ty dịch vụ chuyên nghiệp và các công ty công nghệ.

Vào tháng 7 năm 2025, Akira bị quy trách nhiệm cho một cuộc tấn công ransomware vào nhà bán lẻ rượu WineLab, buộc công ty phải ngừng hoạt động bán lẻ và dịch vụ trực tuyến, đồng thời làm gián đoạn nghiêm trọng cơ sở hạ tầng CNTT và dịch vụ khách hàng. Các chi nhánh của nhóm nhận tới 80% tiền chuộc, khuyến khích tuyển dụng tích cực và duy trì khối lượng tấn công.

RansomHub: Nổi Lên Nhanh Chóng và Dừng Hoạt Động Bất Ngờ

RansomHub đạt được sự nổi bật đáng kể trước khi ngừng hoạt động đột ngột vào tháng 4 năm 2025, trở thành biến thể ransomware phổ biến nhất trong các báo cáo công khai trên các trang rò rỉ từ tháng 1 đến tháng 3 năm 2025.

Unit 42 đã theo dõi nhóm phân phối RansomHub (RansomHub triển khai malware) là Spoiled Scorpius, và Bitsight ước tính hoạt động này đã thực hiện 534 cuộc tấn công vào năm 2024 với hơn 15.000 lượt đề cập trên Telegram, 315 lượt đề cập trên Pastebin và 148 lượt đề cập trên Reddit. Nhóm này bị nghi ngờ tuyển dụng các chi nhánh cũ của ALPHV/BlackCat sau vụ lừa đảo rút lui của hoạt động đó sau cuộc tấn công Change Healthcare.

Các nhà điều hành RansomHub đã tận dụng các cuộc tấn công kỹ thuật xã hội, đặc biệt là lừa đảo, password spraying, và khai thác các CVE, để truy cập ban đầu. Sau khi vào được môi trường nạn nhân, các chi nhánh triển khai Mimikatz để trích xuất hàng loạt thông tin xác thực đăng nhập, sau đó leo thang đặc quyền và di chuyển ngang bằng cách sử dụng Remote Desktop Protocol (RDP), AnyDesk, Metasploit, PsExec, N-able và Cobalt Strike, cùng với các framework command-and-control khác.

Vào tháng 11 năm 2024, một chuỗi tấn công mới được quy cho RansomHub đã xuất hiện liên quan đến email lừa đảo với các tệp đính kèm độc hại, sử dụng các tập lệnh Python NODESTEALER bị làm rối để phân phối các tệp XWORM được mã hóa đã tải thêm shellcode được mã hóa vào bộ nhớ.

Các cuộc tấn công đáng chú ý của RansomHub bao gồm một cuộc tấn công vào ngày 21 tháng 2 năm 2024, vào Change Healthcare chỉ vài tuần sau khi công ty này bị ALPHV/BlackCat nhắm mục tiêu trước đó, với các chi nhánh tuyên bố đã đánh cắp 4 terabyte dữ liệu nhạy cảm và yêu cầu thanh toán trong vòng 12 ngày hoặc đe dọa bán dữ liệu cho người trả giá cao nhất.

Trong một sự cố khác vào Quý 4 năm 2024, các chi nhánh của RansomHub đã được quan sát triển khai các kỹ thuật xóa đĩa và sử dụng xác thực trước khởi động BitLocker để mã hóa các ổ đĩa mục tiêu và vô hiệu hóa khả năng phục hồi và khởi động.

Tuy nhiên, hoạt động của RansomHub đột ngột dừng lại vào tháng 4 năm 2025 trong những trường hợp không rõ ràng. Vào ngày 1 tháng 4 năm 2025, các nhà nghiên cứu bảo mật đã quan sát thấy cổng thông tin liên lạc khách hàng của RansomHub, thường được sử dụng để đàm phán yêu cầu ransomware với nạn nhân, đã ngoại tuyến. Suy đoán cho rằng có thể đã xảy ra tranh chấp giữa các thành viên cốt lõi của RansomHub và các chi nhánh của nhóm, với một số nhà nghiên cứu tin rằng một số thành viên đã đào tẩu sang Qilin.

Vào tháng 5 năm 2025, tác nhân đe dọa DragonForce tuyên bố đã kiểm soát RansomHub và công bố kế hoạch ra mắt dịch vụ thương hiệu white-label cho phép các chi nhánh ngụy trang ransomware DragonForce thành các chủng khác với một khoản phí bổ sung, với DragonForce lấy 20% phần trăm tiền thanh toán thành công.

BlackSuit: Tái Thương Hiệu và Tấn Công Nhanh

BlackSuit xuất hiện vào tháng 5 năm 2023 dưới dạng tái thương hiệu của dòng ransomware Royal, được cho là bao gồm các hacker hoạt động như một nhóm riêng tư không có chi nhánh công khai. Vào thời điểm tái thương hiệu, các nhà nghiên cứu của Unit 42 đã quan sát thấy ít nhất 93 nạn nhân trên toàn cầu với xu hướng tăng lên trong các vụ xâm phạm thành công được chia sẻ trên trang rò rỉ của nhóm, cho thấy một sự tăng cường tổng thể các hoạt động.

Các payload BlackSuit chứa nhiều điểm tương đồng kỹ thuật với ransomware Royal, bao gồm các cơ chế mã hóa, tham số dòng lệnh và việc bảo tồn sách lược tống tiền kép tương tự.

Nhóm này sử dụng các chiến thuật tinh vi, bao gồm vishing (lừa đảo bằng giọng nói) để đánh cắp thông tin xác thực VPN để truy cập ban đầu, thực hiện các cuộc tấn công DCSync trên các bộ điều khiển miền để có thông tin xác thực đặc quyền cao, triển khai AnyDesk và các RAT tùy chỉnh để tồn tại, xóa dấu vết pháp y bằng CCleaner, và sử dụng Ansible để triển khai ransomware BlackSuit trên các máy chủ ESXi mã hóa hàng trăm máy ảo và gây gián đoạn hoạt động lớn.

Phương pháp đa luồng và quét hệ thống tệp hung hãn của BlackSuit cho phép nhóm mã hóa dữ liệu cực kỳ nhanh chóng, với các nhà nghiên cứu quan sát thấy ransomware bắt đầu mã hóa trong vòng vài giây sau khi thực thi và hoàn tất việc khóa tệp trên các mạng doanh nghiệp chỉ trong vài phút.

Yêu cầu tiền chuộc của BlackSuit thường dao động từ 1 triệu USD đến 10 triệu USD bằng Bitcoin, với yêu cầu cao nhất được ghi nhận đạt 60 triệu USD. Tổng cộng, nhóm này được báo cáo đã yêu cầu hơn 500 triệu USD từ các nạn nhân trong vòng hai năm hoạt động.

Các cuộc tấn công nổi bật bao gồm vụ tấn công vào tháng 4 năm 2024 vào Octapharma Plasma làm gián đoạn hoạt động tại hơn 160 trung tâm hiến huyết tương trên khắp Hoa Kỳ, và một cuộc tấn công vào tháng 6 năm 2024 vào CDK Global, một nhà cung cấp phần mềm cho khoảng 15.000 đại lý ô tô Bắc Mỹ—gây gián đoạn hoạt động rộng khắp và ước tính thiệt hại 1 tỷ USD.

Nhóm này vận hành một trang rò rỉ dark web nơi họ công bố tên nạn nhân và dữ liệu bị đánh cắp để tống tiền, tận dụng mối đe dọa gây tổn hại danh tiếng và vi phạm quy định. Việc nhắm mục tiêu của BlackSuit trải rộng nhiều lĩnh vực, bao gồm y tế, giáo dục, CNTT, chính phủ, bán lẻ và sản xuất, mặc dù nhóm này dường như không tập trung vào bất kỳ ngành cụ thể nào.

Vào tháng 7 năm 2025, cơ quan thực thi pháp luật quốc tế từ Hoa Kỳ và chín quốc gia đối tác đã thu giữ một phần cơ sở hạ tầng dark web của BlackSuit như một phần của các nỗ lực đang diễn ra nhằm phá vỡ hoạt động ransomware.

Scattered Spider: Kỹ Thuật Xã Hội Tinh Vi và RaaS Mới

Scattered Spider (còn được gọi là UNC3944, Star Fraud, Octo Tempest, Scatter Swine và Muddled Libra) đại diện cho một trong những tác nhân đe dọa tinh vi và nguy hiểm nhất xuất hiện trong những năm gần đây, với các thành viên được cho là thanh thiếu niên và thanh niên có trụ sở chủ yếu ở Hoa Kỳ và Vương quốc Anh.

Nhóm này, liên kết với tập thể hacker lớn hơn được gọi là “The Community” hoặc “The Com,” đã phát triển từ lừa đảo thông tin xác thực cơ bản đến các hoạt động ransomware quy mô đầy đủ, thiết lập các liên minh chiến lược với các nhà điều hành ransomware lớn, bao gồm ALPHV, RansomHub và DragonForce, để có quyền truy cập vào cơ sở hạ tầng, công cụ triển khai và nền tảng đàm phán tiền chuộc.

Một khuyến cáo chung từ các cơ quan an ninh mạng hàng đầu toàn cầu, bao gồm ASD và ACSC của Úc, FBI, CISA, và NCSC của Vương quốc Anh—được công bố vào tháng 7 năm 2025 đã tiết lộ sự leo thang mạnh mẽ trong các hoạt động của Scattered Spider, với việc tăng cường sử dụng ransomware, kỹ thuật xã hội và đánh cắp thông tin xác thực.

Nhóm này hiện triển khai ransomware DragonForce, đánh dấu sự chuyển đổi từ tống tiền thuần túy thông qua đánh cắp dữ liệu sang mã hóa hoàn toàn các hệ thống doanh nghiệp, đặc biệt nhắm mục tiêu vào các máy chủ VMware ESXi (Ransomware Linux tấn công ESXi) và yêu cầu thanh toán qua TOR, Tox, email hoặc các ứng dụng được mã hóa.

Scattered Spider chuyên khai thác lòng tin của con người thông qua các chiến lược kỹ thuật xã hội tiên tiến, bao gồm SIM swapping, push bombing (tấn công mệt mỏi MFA) và vishing—thường xuyên giả mạo nhân viên bộ phận trợ giúp hoặc CNTT để thu thập thông tin xác thực.

Trong các chiến dịch gần đây, các tác nhân đe dọa đã giả mạo nhân viên qua nhiều cuộc gọi đến bộ phận trợ giúp CNTT để đặt lại mật khẩu và chuyển hướng lời nhắc MFA sang các thiết bị do kẻ tấn công kiểm soát, dẫn đến việc chiếm đoạt tài khoản hoàn toàn trong môi trường Single Sign-On (SSO). Các miền lừa đảo của họ bắt chước các dịch vụ thực (ví dụ: targetsname-okta.com, targetsname-helpdesk.com) để tăng tính hợp pháp cho các chiến thuật giả mạo.

Kho vũ khí phần mềm độc hại của nhóm bao gồm AveMaria/WarZone RAT để truy cập hệ thống từ xa, Raccoon Stealer và VIDAR để thu thập thông tin xác thực và cookie của trình duyệt, RattyRAT (một trojan truy cập từ xa dựa trên Java lén lút) và DragonForce Ransomware để mã hóa sau khi trích xuất.

Scattered Spider phụ thuộc nhiều vào các chiến thuật living off the land (LOTL) và các công cụ hợp pháp được sử dụng cho mục đích độc hại, bao gồm Ngrok, Tailscale và ScreenConnect để tạo kênh lưu lượng và né tránh phát hiện chu vi.

Nhóm này cũng xâm nhập các nền tảng liên lạc nội bộ, bao gồm Microsoft Teams, Exchange Online và Slack, đôi khi tham gia các cuộc gọi phản ứng sự cố theo thời gian thực để giám sát và thích ứng với các biện pháp đối phó.

Năm 2025, Scattered Spider công bố kế hoạch ra mắt dịch vụ Ransomware-as-a-Service của riêng mình có tên “ShinySp1d3r RaaS,” tuyên bố nó sẽ là “RaaS tốt nhất từng tồn tại” và đặt các tổ chức vào rủi ro bảo mật cả về đánh cắp dữ liệu và mã hóa. Sự tập trung nhắm mục tiêu 70% của nhóm vào các lĩnh vực công nghệ, tài chính và thương mại bán lẻ khiến các ngành này đặc biệt dễ bị đánh cắp thông tin xác thực và các cuộc tấn công ransomware.

Nghiên cứu tiết lộ rằng 81% các miền của Scattered Spider giả mạo các nhà cung cấp công nghệ, nhắm mục tiêu vào các thông tin xác thực có giá trị cao như của quản trị viên hệ thống và giám đốc điều hành. Vào tháng 7 năm 2025, bốn cá nhân ở Vương quốc Anh trong độ tuổi từ 17 đến 20 đã bị bắt liên quan đến các cuộc tấn công ransomware của Scattered Spider đã làm gián đoạn hoạt động tại các nhà bán lẻ lớn Marks & Spencer, Co-op và Harrods.

Các Nhóm Ransomware Mới Nổi

Ngoài các nhóm thống trị, năm 2025 chứng kiến sự nổi lên nhanh chóng của một số hoạt động ransomware mới đáng chú ý. Sinobi đạt vị trí thứ ba đáng chú ý với 69 nạn nhân được tuyên bố vào tháng 10 năm 2025, thể hiện sự thăng tiến nhanh chóng đối với một nhóm chỉ mới xuất hiện vào tháng 7 năm 2025.

DragonForce tăng vọt vào năm 2025, phá vỡ kỷ lục nạn nhân thông qua việc tuyển dụng và quảng cáo mạnh mẽ trên các diễn đàn dark-web, cung cấp cho các chi nhánh tới 80% tiền chuộc cùng với các trình xây dựng ransomware cho các nền tảng Windows, Linux, ESXi và NAS.

Nhóm này đã sử dụng lại mã LockBit và Conti, hoán đổi payload để né tránh phòng thủ, và sử dụng các kỹ thuật Bring-Your-Own-Vulnerable-Driver (BYOVD) để vô hiệu hóa các công cụ bảo mật. Các cuộc tấn công của DragonForce tăng vọt 212,5% vào tháng 6 năm 2025 so với các tháng trước, và nhóm này đã công bố một liên minh ransomware tuyên bố kiểm soát RansomHub cùng với một dịch vụ thương hiệu white-label.

Medusa nổi lên như một mối đe dọa đang gia tăng đặc biệt nhắm mục tiêu vào các tổ chức công cộng bao gồm các hệ thống trường học và chính quyền khu vực, sử dụng các rò rỉ dữ liệu và chiến thuật tống tiền có tác động nặng nề đến các dịch vụ và hạ tầng công cộng.

Nhóm này hoạt động như một biến thể RaaS đã phát triển đáng kể từ năm 2023, tuyên bố hàng trăm nạn nhân và trở thành một tác nhân ransomware trong top mười. Medusa thường trả tiền cho các Initial Access Brokers (IABs) để cung cấp thông tin xác thực và dữ liệu nhạy cảm cho phép truy cập, mặc dù nhóm này cũng tiến hành các chiến dịch lừa đảo và khai thác các lỗ hổng hướng ra công chúng một cách độc lập.

Vào tháng 10 năm 2025, Medusa được quan sát đã chuỗi một lỗ hổng thực thi mã từ xa (RCE) deserialization không xác thực trong GoAnywhere MFT (CVE-2025-10035) để có được quyền truy cập ban đầu, sau đó duy trì sự tồn tại bằng cách lạm dụng công cụ RMM (SimpleHelp và MeshAgent) và tạo các web shell .jsp trong các thư mục MFT.

The Gentlemen thu hút sự chú ý thông qua các bản cập nhật cho các locker Windows, Linux và ESXi của họ được tác nhân đe dọa Zeta88 công bố vào tháng 10 năm 2025, bổ sung khả năng tự khởi động lại và chạy khi khởi động tự động, chế độ im lặng cho Windows mã hóa mà không đổi tên tệp trong khi vẫn giữ nguyên dấu thời gian, và khả năng tự lây lan trên các mạng/miền bằng cách sử dụng WMI/WMIC, SCHTASKS, SC (Service Control), và PowerShell Remoting.

INC Ransom nổi lên là chủng ransomware hoạt động tích cực nhất nhắm mục tiêu vào các nhà cung cấp dịch vụ y tế vào năm 2025, tuyên bố 39 cuộc tấn công với 15 được xác nhận, đồng thời thể hiện sự nhắm mục tiêu đáng kể vào các doanh nghiệp y tế.

Phương Thức Tấn Công Chính Của Ransomware

Phishing và Kỹ Thuật Xã Hội Tăng Cường AI

Lừa đảo (phishing) và kỹ thuật xã hội vẫn là các vector truy cập ban đầu phổ biến nhất cho các cuộc tấn công ransomware vào năm 2025, với các nghiên cứu chỉ ra rằng các chiến thuật này chiếm khoảng 46-67% các vụ xâm nhập thành công. Theo Báo cáo Vi phạm Dữ liệu của Verizon, 74% tổng số các vụ vi phạm bắt đầu bằng một cuộc tấn công kỹ thuật xã hội, nhấn mạnh vai trò quan trọng của thao túng con người trong các hoạt động mạng hiện đại.

Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) định nghĩa kỹ thuật xã hội là các cuộc tấn công trong đó kẻ thù sử dụng tương tác của con người và kỹ năng xã hội để thu thập hoặc xâm phạm thông tin về các tổ chức hoặc hệ thống máy tính.

Các nhà điều hành ransomware vào năm 2025 ngày càng sử dụng các kỹ thuật lừa đảo tinh vi được tăng cường bởi trí tuệ nhân tạo (AI). Báo cáo ransomware năm 2025 của CrowdStrike tiết lộ rằng 87% các chuyên gia bảo mật tin rằng AI làm cho các mồi nhử lừa đảo trở nên thuyết phục hơn, với deepfake nổi lên là một động lực chính của các cuộc tấn công ransomware trong tương lai.

AI tạo sinh (GenAI) cho phép kẻ tấn công tự động hóa các tác vụ chính và viết mã để hợp lý hóa hoạt động, với ThreatLabz phát hiện bằng chứng về cách một nhóm đe dọa khét tiếng đã sử dụng ChatGPT để hỗ trợ thực hiện các cuộc tấn công. Các khả năng được hỗ trợ bởi AI này cho phép tạo ra các email lừa đảo rất thuyết phục được tùy chỉnh cho từng người nhận cụ thể, tự động hóa quét và khai thác lỗ hổng, và tùy chỉnh các ghi chú tiền chuộc dựa trên hồ sơ nạn nhân.

Việc nhắm mục tiêu trở nên cá nhân hóa và chiến lược hơn. Các tác nhân đe dọa ransomware phần lớn đã chuyển từ các chiến dịch spam quy mô lớn truyền thống sang các cuộc tấn công được tùy chỉnh hơn giả mạo nhân viên CNTT để nhắm mục tiêu vào những nhân viên có quyền truy cập đặc quyền.

Sự phát triển này được minh họa bởi các chi nhánh cũ của Black Basta đã tái xuất hiện vào năm 2025, sử dụng các kỹ thuật kết hợp lừa đảo Microsoft Teams, tập lệnh Python và các tin nhắn kỹ thuật xã hội giả mạo hỗ trợ CNTT, nhắc nhở nạn nhân khởi tạo các công cụ truy cập từ xa như Quick Assist hoặc AnyDesk. Sau khi thiết lập truy cập, các tập lệnh Python được truy xuất thông qua các yêu cầu cURL đã thiết lập giao tiếp command-and-control.

Email lừa đảo thường chứa các tệp đính kèm độc hại với các tài liệu Office sử dụng macro độc hại, với các giải pháp chống lừa đảo và đào tạo nhân viên được xác định là các biện pháp phòng thủ quan trọng chống lại vector tấn công này. Sự tinh vi mở rộng ra ngoài email để bao gồm các chiến dịch vishing (lừa đảo bằng giọng nói), với các nhà điều hành BlackSuit sử dụng vishing để đánh cắp thông tin xác thực VPN để truy cập ban đầu.

Chiến dịch Vanilla Tempest đã chứng minh cách các tác nhân đe dọa kết hợp nhiều vector, phân phối các trình cài đặt Microsoft Teams giả mạo được lưu trữ trên các miền giống hệt với các chứng chỉ được ký gian lận, phân phối backdoor Oyster (Oyster malware), và cuối cùng là ransomware Rhysida trước khi Microsoft làm gián đoạn hoạt động vào đầu tháng 10 bằng cách thu hồi hơn 200 chứng chỉ.

Khai Thác Lỗ Hổng CVE và Lỗ Hổng Zero-Day

Việc khai thác các CVE đã biết làm phương pháp xâm nhập ban đầu tăng đáng kể trong năm 2025, với các tác nhân ransomware tích cực vũ khí hóa các lỗ hổng nghiêm trọng trong phần mềm và cơ sở hạ tầng mạng được triển khai rộng rãi.

Trong số các lỗ hổng bị nhắm mục tiêu nhiều nhất là CVE-2025-61882(Oracle breach Cl0p ransomware) trong Oracle E-Business Suite (bị Cl0p khai thác để thực thi mã từ xa qua SSRF), CVE-2025-10035(GoAnywhere zero-day RCE Medusa ransomware) trong GoAnywhere MFT (bị Medusa chuỗi để RCE deserialization không xác thực), CVE-2024-50623(Cl0p ransomware tấn công viễn thông) và CVE-2024-55956(Tăng 213% tấn công ransomware) trong các sản phẩm truyền tệp Harmony, VLTrader và LexiCom của Cleo (bị Cl0p khai thác hàng loạt), và CVE-2025-29824 trong Windows Common Log File System (được sử dụng như zero-day vulnerability bởi ransomware Play).

Các lỗ hổng Fortinet nhận được sự chú ý đặc biệt, với nhóm ransomware Qilin phát động các cuộc tấn công khai thác CVE-2024-21762(Qilin nhóm hoạt động tích cực nhất) và CVE-2024-55591(FortiVoice zero-day vulnerability) trên các tường lửa FortiGate từ tháng 5 đến tháng 6 năm 2025. Ransomware Play trong quá khứ đã khai thác các lỗ hổng FortiOS CVE-2020-12812(Top 30 lỗ hổng bị nhắm mục tiêu) và CVE-2018-13379, cùng với các lỗ hổng Microsoft Exchange CVE-2022-41040(Microsoft tăng cường bảo mật Exchange) và CVE-2022-41082(23 lỗ hổng Black Basta chat).

Các mẫu khai thác này đã chứng minh sự tinh vi của các nhà điều hành ransomware trong việc nhanh chóng tích hợp các lỗ hổng mới được công bố vào kho vũ khí tấn công của họ, thường đạt được vũ khí hóa trong vòng vài ngày hoặc thậm chí vài giờ sau khi công khai.

Việc nhắm mục tiêu vào các lỗ hổng zero-day đại diện cho một mối đe dọa leo thang trong suốt năm 2025. Cl0p tự phân biệt bằng cách liên tục khai thác các lỗ hổng zero-day trong các nền tảng truyền tệp được quản lý, theo sau các chiến dịch trước đó chống lại Accellion’s File Transfer Appliance (2020-2021), Fortra’s GoAnywhere MFT (2023) và MOVEit Transfer (2023).

Các cuộc tấn công kiểu chuỗi cung ứng này đã chứng tỏ “hiệu quả tàn nhẫn”, cho phép Cl0p nhắm mục tiêu hàng trăm nạn nhân đồng thời bằng cách quét internet để tìm các máy chủ dễ bị tấn công và tự động hóa hoàn toàn việc khai thác, như đã được chứng minh khi nhóm này khai thác khoảng 2.500 máy chủ MOVEit bị phơi bày trong một khoảng thời gian ngắn.

Việc khai thác liên tục các hệ thống chưa được vá phản ánh những thách thức rộng lớn hơn trong quản lý lỗ hổng. Việc vá các lỗ hổng này vẫn rất quan trọng để gây khó khăn hơn cho các nhóm ransomware trong việc giành được chỗ đứng ban đầu trong mạng lưới của tổ chức.

Tuy nhiên, cửa sổ cơ hội cho các nhà phòng thủ tiếp tục thu hẹp khi những kẻ tấn công đẩy nhanh thời gian khai thác của họ, với một số nhóm triển khai các cuộc tấn công trong vòng vài giờ sau khi công bố lỗ hổng hoặc, trong trường hợp zero-day, trước khi các bản vá có sẵn.

Tài Khoản Bị Xâm Nhập và Initial Access Brokers (IABs)

Thông tin xác thực bị xâm phạm nổi lên là vector tấn công được nhận thức phổ biến thứ hai, liên quan đến khoảng 23-25% các sự cố ransomware vào năm 2025.

Các nhóm như Black Basta, RansomHub và DragonForce ngày càng dựa vào thông tin xác thực bị xâm phạm hoặc được bảo mật yếu làm vector xâm nhập chính, sử dụng các framework brute-forcing tự động và kỹ thuật credential-stuffing để nhắm mục tiêu có hệ thống vào các thiết bị chu vi mạng, bao gồm VPN, tường lửa và dịch vụ máy tính từ xa.

Nhật ký trò chuyện bị rò rỉ của Black Basta tiết lộ việc sử dụng rộng rãi một framework brute-force tự động được gọi là “BRUTED” để nhắm mục tiêu vào các thiết bị biên doanh nghiệp được sử dụng rộng rãi như Palo Alto Networks GlobalProtect, Cisco AnyConnect và Fortinet SSL VPN.

Sự gia tăng của các Initial Access Brokers (IABs) đã thay đổi cơ bản hệ sinh thái ransomware bằng cách thương mại hóa giai đoạn vi phạm ban đầu. IABs sử dụng credential stuffing, lừa đảo và các kỹ thuật khác để thu thập bộ dữ liệu trước khi quảng cáo chúng trên các chợ tội phạm mạng.

Ransomware Medusa thường trả tiền cho IABs để cung cấp thông tin xác thực người dùng và dữ liệu nhạy cảm, cho phép truy cập, tăng tốc các cuộc tấn công bằng cách cho phép nhóm tập trung vào mã hóa, trích xuất và đàm phán tiền chuộc thay vì giành quyền truy cập mạng ban đầu. Sự phân chia lao động này đã chuyên nghiệp hóa các hoạt động ransomware và giảm rào cản kỹ thuật gia nhập.

Các công cụ đánh cắp thông tin xác thực phổ biến trong suốt năm 2025. Kho vũ khí của Scattered Spider bao gồm Raccoon Stealer và VIDAR để thu thập thông tin xác thực và cookie của trình duyệt, trong khi nhiều nhóm triển khai Mimikatz để đánh cắp thông tin xác thực từ bộ nhớ sau khi có quyền truy cập ban đầu.

Hoạt động ransomware Warlock đã cài đặt các phiên bản lỗi thời của công cụ mã nguồn mở Velociraptor trên nhiều máy chủ để thiết lập sự tồn tại lén lút và kiểm soát từ xa, sử dụng nó cùng với các lỗ hổng có sẵn và các sửa đổi Group Policy Object để vô hiệu hóa phòng thủ trước khi triển khai nhiều biến thể ransomware.

Việc khai thác các dịch vụ Remote Desktop Protocol (RDP) và Virtual Private Network (VPN) đại diện cho một vector tấn công dựa trên thông tin xác thực quan trọng khác. Các nhà điều hành RansomHub vào tháng 1 năm 2025 đã thực hiện nhiều nỗ lực xác thực để truy xuất thông tin xác thực hợp lệ, với khả năng xâm nhập thông qua các máy chủ web Remote Desktop, sau đó là các kết nối RDP để chuyển sang các thiết bị mạng khác.

Các nhà điều hành LockBit thường có được quyền truy cập ban đầu bằng cách khai thác các máy chủ RDP dễ bị tấn công hoặc sử dụng thông tin xác thực bị xâm phạm mua từ các chi nhánh, với các vector bổ sung bao gồm email lừa đảo với các tệp đính kèm hoặc liên kết độc hại và brute-forcing mật khẩu RDP hoặc VPN yếu.

Lạm Dụng Công Cụ RMM và Truy Cập Từ Xa Hợp Pháp

Một đặc điểm xác định của các hoạt động ransomware năm 2025 là việc lạm dụng rộng rãi các công cụ Giám sát và Quản lý Từ xa (RMM) hợp pháp và phần mềm truy cập từ xa.

Các nhà điều hành ransomware ngày càng chiếm đoạt hoặc cài đặt âm thầm các công cụ hợp pháp như AnyDesk, RustDesk, Splashtop, TightVNC, TeamViewer, Tactical RMM và Pulseway sau khi thông tin xác thực bị xâm phạm để có được quyền truy cập bền bỉ, lén lút.

Các kênh đáng tin cậy này tạo điều kiện cho việc truyền tệp, kiểm soát tương tác, vô hiệu hóa phần mềm chống vi-rút và phân phối ransomware trong khi né tránh phát hiện bởi các hệ thống bảo mật được thiết kế để xác định các binary độc hại.

Các đường dẫn tấn công thường bao gồm đánh cắp thông tin xác thực hoặc brute force, sửa đổi cấu hình công cụ hiện có hoặc sử dụng cờ cài đặt im lặng, leo thang đặc quyền lên cấp độ SYSTEM, vô hiệu hóa phòng thủ và truyền bá công cụ trên các mạng để hỗ trợ di chuyển ngang và mã hóa cuối cùng.

Scattered Spider thiết lập sự tồn tại bằng cách đăng ký các token MFA mới và triển khai các công cụ RMM bao gồm TeamViewer, Tactical RMM, AnyDesk và Pulseway, đồng thời thao túng các nhà cung cấp danh tính SSO. Việc nhóm sử dụng hỗn hợp phần mềm hợp pháp và độc hại đã tạo ra những thách thức phát hiện nghiêm trọng cho các nhà phòng thủ.

Kỹ Thuật Living-off-the-Land (LOTL)

Các chiến thuật living-off-the-land (LOTL) ngày càng trở nên phổ biến khi các chi nhánh ransomware tìm cách hòa nhập vào các hoạt động hợp pháp và né tránh phát hiện dựa trên hành vi. Hoạt động ransomware ELENOR-corp phản ánh sự tinh vi ngày càng tăng bằng cách pha trộn phần mềm độc hại thương mại với công cụ tùy chỉnh, sử dụng giai đoạn payload mô-đun, làm rối nhiều lớp và trích xuất dữ liệu lén lút trong khi thể hiện sự kiên nhẫn trong việc thiết lập cẩn thận cơ sở hạ tầng trước khi kích hoạt payload cuối cùng.

Các chiến dịch ransomware trong tương lai được đánh giá là có khả năng tiếp tục áp dụng kiến trúc mô-đun và kỹ thuật LOTL để hòa nhập vào các hoạt động hợp pháp, với các nhóm tăng cường tập trung vào việc thu thập thông tin xác thực lén lút và trích xuất trước khi mã hóa.

Các chi nhánh ransomware Play đã sử dụng rộng rãi các kỹ thuật living-off-the-land và các công cụ có sẵn công khai trong chuỗi tấn công của họ, sử dụng các tiện ích Windows tích hợp như systeminfo và nltest để liệt kê, PowerShell cho các tác vụ thực thi khác nhau và các công cụ quản trị hệ thống hợp pháp để di chuyển ngang.

Hoạt động ransomware FOG đã thể hiện các phương pháp tương tự với việc kết hợp các chủ đề chính trị và chiến thuật giả mạo cho thấy các biến thể trong tương lai sẽ tăng cường kỹ thuật xã hội trong khi mở rộng thông qua các dịch vụ đáng tin cậy hoặc các bên thứ ba bị xâm phạm.

Mục Tiêu Hạ Tầng Điện Toán Đám Mây và Ảo Hóa của Ransomware

Các tác nhân ransomware vào năm 2025 đã mở rộng đáng kể việc nhắm mục tiêu vào các môi trường đám mây và cơ sở hạ tầng ảo hóa, điều chỉnh các chiến thuật để tác động đến nhiều dữ liệu hơn trên các mạng nạn nhân. Tội phạm mạng như Bling Libra (nhà phân phối ransomware ShinyHunters) và Muddled Libra đã có quyền truy cập vào các môi trường đám mây bằng cách khai thác các cấu hình sai và tìm thấy thông tin xác thực bị phơi bày.

Scattered Spider chuyên nhắm mục tiêu vào các cơ sở dữ liệu Snowflake, phát động hàng nghìn truy vấn liên tiếp để trích xuất các bộ dữ liệu khổng lồ, đồng thời tạo các phiên bản Amazon EC2 mới, kích hoạt AWS Systems Manager và triển khai các công cụ ETL tùy chỉnh để tập trung hóa dữ liệu bị trích xuất.

Sự phổ biến của các payload ransomware có khả năng chạy trên nhiều nền tảng đã trở thành thông lệ tiêu chuẩn. Các nhóm ransomware ngày càng phát triển hoặc sửa đổi phần mềm độc hại để nhắm mục tiêu không chỉ Windows mà còn Linux, hypervisor (đặc biệt là VMware ESXi) và thậm chí macOS.

Cách tiếp cận đa nền tảng này, được quan sát là tiêu chuẩn trong số các nhóm đe dọa ransomware, đã mở rộng đáng kể bề mặt tấn công và làm phức tạp các chiến lược phòng thủ. LockBit 5.0 giới thiệu hỗ trợ đa nền tảng với các bản dựng mới cho hệ thống Windows, Linux và ESXi, trong khi Play phát triển các biến thể Windows và ESXi riêng biệt với các hash duy nhất cho mỗi lần triển khai.

Các hypervisor ESXi nhận được sự chú ý đặc biệt do vai trò trung tâm của chúng trong ảo hóa doanh nghiệp. Các nhóm bao gồm Scattered Spider, RansomHub và BlackSuit cố tình nhắm mục tiêu vào môi trường ESXi—các hệ thống cung cấp năng lượng cho máy chủ và hoạt động kỹ thuật số của các công ty nhưng thường hoạt động dưới sự giám sát của các công cụ bảo mật truyền thống.

BlackSuit kết hợp một chức năng -killvm cụ thể để tắt các máy ảo VMware ESXi và mã hóa chúng, mở rộng các cuộc tấn công sang các máy chủ đám mây riêng và cho phép mã hóa hàng trăm máy ảo đồng thời. Nhóm ransomware Three AM đã sử dụng các cuộc gọi điện thoại để giả mạo số điện thoại của bộ phận CNTT của các tổ chức mục tiêu, lừa nhân viên cho phép truy cập từ xa vào các máy tính đã tạo điều kiện cho việc nhắm mục tiêu ESXi.

Sự thay đổi này hướng tới cơ sở hạ tầng đám mây và ảo hóa đại diện cho một sự phát triển chiến lược nhận ra rằng các môi trường ảo hóa thường tập trung một lượng lớn dữ liệu và dịch vụ quan trọng trong khi duy trì các tư thế bảo mật yếu hơn so với các điểm cuối truyền thống. Việc nhắm mục tiêu vào các lớp hypervisor cho phép kẻ tấn công bỏ qua các công cụ bảo mật được triển khai ở cấp hệ điều hành khách, đạt được tác động tối đa với việc phát hiện tối thiểu.

Tác Động của Các Trang Rò Rỉ Dữ Liệu

Sự phổ biến của các trang rò rỉ dữ liệu (DLS) chuyên dụng đã biến ransomware thành một hình thức chiến tranh tâm lý, tận dụng thiệt hại danh tiếng và các mối đe dọa vi phạm quy định để gây áp lực buộc nạn nhân phải thanh toán.

Số lượng các trang rò rỉ dữ liệu đang hoạt động tăng vọt lên mức kỷ lục 81 trong Quý 3 năm 2025, với các sở thích và kỹ thuật nhắm mục tiêu độc đáo của các nhóm ransomware khiến các cuộc tấn công ngày càng khó đoán và khó phòng thủ hơn.

Các trang web này phục vụ hai mục đích: chứng minh bằng chứng xâm phạm bằng cách công bố dữ liệu mẫu từ các nạn nhân từ chối đàm phán, và tạo ra sự khẩn cấp thông qua các bộ đếm ngược chỉ ra thời điểm bộ dữ liệu đầy đủ sẽ được công khai.

Qilin được cho là đã tuyên bố đánh cắp hơn 11,1 terabyte dữ liệu tổng thể trong các hoạt động của mình, với khoảng 8 terabyte từ cuộc tấn công vào Trung tâm Y tế Shamir của Israel, mà nhóm này yêu cầu 700.000 USD tiền chuộc để đổi lấy việc xóa dữ liệu.

Cl0p vận hành các trang rò rỉ chuyên dụng nơi nạn nhân được liệt kê nếu họ từ chối yêu cầu tiền chuộc, với nhóm này thậm chí còn tạo các trang web clearweb để rò rỉ dữ liệu bị đánh cắp trong các cuộc tấn công MOVEit Transfer, bao gồm các trang cho PwC, Aon, EY, Kirkland và TD Ameritrade nơi dữ liệu được đăng trong các tệp lưu trữ ZIP được chia nhỏ.

INC Ransom tuyên bố đã đánh cắp hơn 20,1 terabyte dữ liệu trong các cuộc tấn công vào các doanh nghiệp y tế, chủ yếu từ các sự cố nhắm mục tiêu Singular Genomics và Deerfield Management.

Tác động tâm lý của việc dữ liệu có thể bị phơi bày đã chứng tỏ đặc biệt mạnh mẽ trong các lĩnh vực xử lý thông tin rất nhạy cảm. Các nhà cung cấp dịch vụ y tế đối mặt với các kịch bản thảm khốc khi rò rỉ dữ liệu bệnh nhân có thể làm lộ thông tin sức khỏe được bảo vệ, hồ sơ y tế, chẩn đoán và chi tiết điều trị—thông tin có ý nghĩa sâu sắc về quyền riêng tư và các hình phạt quy định đáng kể.

Trong cuộc tấn công Synnovis tháng 6 năm 2024, Qilin đã công bố “gói bằng chứng” thông tin bí mật trên trang darknet của họ cho thấy các chi tiết bệnh nhân nhạy cảm bao gồm tên, ngày sinh, số NHS và mô tả xét nghiệm máu để gây áp lực buộc nhà cung cấp bệnh lý phải trả 50 triệu USD tiền chuộc.

Hiệu quả của áp lực trang rò rỉ khác nhau tùy theo lĩnh vực và môi trường quy định. Các tổ chức trong các khu vực pháp lý có quy định bảo vệ dữ liệu nghiêm ngặt như GDPR đối mặt với trách nhiệm pháp lý khổng lồ từ việc phơi bày dữ liệu, tạo ra các động cơ mạnh mẽ để ngăn chặn việc công bố ngay cả khi có thể đạt được giải mã bằng các phương tiện khác.

Tuy nhiên, khi năm 2025 trôi qua, một số chiến dịch trích xuất dữ liệu nổi bật đã chứng tỏ “phần lớn không hiệu quả đối với những kẻ tấn công bất chấp tác động được báo cáo rộng rãi lên các tổ chức nạn nhân”, vì các thực thể ngày càng hiểu rằng việc trả tiền để ngăn chặn sự phổ biến dữ liệu bị đánh cắp mang lại tiện ích thực tế tối thiểu.

Tấn Công Vào Hạ Tầng Trọng Yếu: Trọng Tâm Y Tế

Nguy Cơ Gia Tăng trên Hạ Tầng Trọng Yếu

Các cuộc tấn công ransomware chống lại các lĩnh vực hạ tầng trọng yếu đạt mức đáng báo động vào năm 2025, với 2.332 sự cố nhắm mục tiêu vào các ngành thiết yếu từ tháng 1 đến tháng 9, chiếm 50% tổng số các cuộc tấn công ransomware toàn cầu và đánh dấu mức tăng 34% so với năm trước.

Sự tập trung này nhấn mạnh cách kẻ thù khai thác có hệ thống các điểm yếu trong hạ tầng vital đối với khả năng phục hồi quốc gia, ổn định kinh tế và an toàn công cộng. Lĩnh vực sản xuất trải qua mức tăng trưởng mạnh nhất với các cuộc tấn công tăng 61% so với năm trước, trong khi y tế, năng lượng, giao thông vận tải và dịch vụ tài chính cũng đối mặt với việc nhắm mục tiêu không ngừng.

Sự tập trung chiến lược vào hạ tầng trọng yếu phản ánh sự ưu tiên có chủ đích của tác nhân đe dọa dựa trên tiềm năng gây gián đoạn tối đa và khả năng thanh toán. Các lĩnh vực này nắm giữ dữ liệu nhạy cảm như tài sản trí tuệ và hồ sơ tài chính, vận hành các hệ thống lỗi thời hoặc duy trì ngân sách bảo mật hạn chế, và bao gồm nhiều doanh nghiệp nhỏ hơn với các biện pháp an ninh mạng yếu hơn khiến chúng trở thành mục tiêu dễ dàng và có lợi nhuận.

Các tổ chức hạ tầng trọng yếu cũng đối mặt với áp lực rất lớn để khôi phục hoạt động nhanh chóng do các tác động đến an toàn công cộng, tạo ra sự khẩn cấp mà các tác nhân ransomware khai thác để đòi tiền chuộc cao hơn.

Vào tháng 10 năm 2025, khoảng 31 sự cố có thể tác động đến hạ tầng trọng yếu, với 26 sự cố mang ý nghĩa chuỗi cung ứng tiềm ẩn. Tháng này cũng đánh dấu sự gia tăng của tống tiền công nghiệp, exemplified by the Asahi Breweries incident, nơi ransomware gây ra gián đoạn hoạt động trực tiếp vượt ra ngoài việc mã hóa dữ liệu đơn thuần.

Nhìn chung, tháng 10 năm 2025 nhấn mạnh một giai đoạn mới của sự tinh vi kỹ thuật và nhắm mục tiêu công nghiệp, khi ransomware phát triển từ mã hóa dữ liệu sang gián đoạn kinh doanh chiến lược, tận dụng thời gian ngừng hoạt động, thiệt hại danh tiếng và áp lực tài chính làm công cụ tống tiền chính.

Các chiến dịch ransomware trong tương lai được đánh giá là có khả năng tập trung vào các gián đoạn đồng bộ trên các hệ thống CNTT và công nghệ vận hành (OT), khai thác lịch trình sản xuất, hậu cần và phụ thuộc quản lý đơn hàng. Làn sóng ransomware công nghiệp tiếp theo có thể kết hợp các payload nhận biết tự động có khả năng ngừng chuỗi cung ứng ở quy mô lớn để khuếch đại áp lực đàm phán.

Các chủng ransomware hiện đại giờ đây nhắm mục tiêu trực tiếp vào các hệ thống kiểm soát công nghiệp (ICS) và SCADA, tập trung vào các thành phần như bộ điều khiển logic lập trình (PLC) và giao diện người-máy (HMI) để tắt hoàn toàn các hệ thống OT.

Các hoạt động ransomware nên được hiểu không chỉ là các cuộc tấn công có động cơ tài chính mà còn là các công cụ chiến thuật có khả năng làm gián đoạn hoạt động của nạn nhân trong khi gây thiệt hại tài chính và danh tiếng. Trong các ngành công nghiệp trọng yếu, những gián đoạn như vậy có thể có hậu quả cấp quốc gia, làm suy yếu các hoạt động thiết yếu và làm xói mòn lòng tin của công chúng.

Mục Tiêu Y Tế: Điểm Nóng Ransomware

Lĩnh vực y tế đã phải chịu đựng những cuộc tấn công ransomware đặc biệt tàn khốc vào năm 2025, với 293 cuộc tấn công vào các nhà cung cấp dịch vụ y tế và 130 cuộc tấn công vào các doanh nghiệp y tế được ghi nhận chỉ trong chín tháng đầu năm.

Trong khi các cuộc tấn công vào các nhà cung cấp dịch vụ y tế vẫn tương đối ổn định so với năm 2024, các sự cố nhắm mục tiêu vào các doanh nghiệp y tế tăng 30%, phản ánh một sự thay đổi chiến lược khi tội phạm mạng khai thác tính chất liên kết của các hệ sinh thái y tế.

Các doanh nghiệp y tế bao gồm các nhà sản xuất dược phẩm, nhà cung cấp dịch vụ thanh toán y tế và các công ty công nghệ y tế thường phục vụ nhiều nhà cung cấp, cho phép hacker truy cập vào số lượng lớn hơn các tổ chức thông qua các mục tiêu trung tâm duy nhất và tăng phạm vi của các vụ vi phạm dữ liệu sau đó.

Tính dễ bị tổn thương của lĩnh vực y tế bắt nguồn từ nhiều yếu tố: tính nhạy cảm cao của dữ liệu y tế khiến nó có giá trị để tống tiền, sự phụ thuộc quan trọng vào tính liên tục trong hoạt động nơi sự chậm trễ có thể ảnh hưởng trực tiếp đến việc chăm sóc bệnh nhân, cơ sở hạ tầng CNTT thường lỗi thời với nguồn lực bảo mật hạn chế, và khả năng thanh toán cao do áp lực quy định và lo ngại về an toàn bệnh nhân.

Các nhà cung cấp dịch vụ y tế bị tấn công bởi ransomware vào năm 2024 cho thấy tỷ lệ thanh toán đáng lo ngại là 53%—cao hơn đáng kể so với nhiều lĩnh vực khác—với các khoản thanh toán tiền chuộc trung bình là 1,5 triệu USD và mức trung bình tăng vọt lên 4,4 triệu USD. Những kẻ tấn công đã chứng tỏ thành công đặc biệt trong việc vô hiệu hóa các biện pháp phòng thủ chính trong y tế, đạt tỷ lệ thành công 66% trong việc xâm phạm hoặc phá hủy các bản sao lưu và buộc các nạn nhân phải hành động hiệu quả.

Các chủng ransomware phổ biến nhất nhắm mục tiêu vào các nhà cung cấp dịch vụ y tế vào năm 2025 bao gồm INC (39 cuộc tấn công với 15 được xác nhận), Qilin (34 cuộc tấn công với 14 được xác nhận), SafePay (21 cuộc tấn công), RansomHub (13 cuộc tấn công với 6 được xác nhận) và Medusa (13 cuộc tấn công với 8 được xác nhận). Đối với các doanh nghiệp y tế, Qilin dẫn đầu với 19 cuộc tấn công (4 được xác nhận), tiếp theo là KillSec (12 cuộc tấn công, 2 được xác nhận), Akira (10 cuộc tấn công, 2 được xác nhận), INC (9 cuộc tấn công) và SafePay (7 cuộc tấn công).

Khi được đo bằng khối lượng dữ liệu bị đánh cắp thay vì số lượng sự cố, Interlock chịu trách nhiệm về số lượng hồ sơ bị xâm phạm lớn nhất trong số các nhà cung cấp dịch vụ y tế với 2.735.407 hồ sơ bị vi phạm—chủ yếu từ một cuộc tấn công vào DaVita—trong khi Qilin tuyên bố đã đánh cắp khối lượng dữ liệu lớn nhất tổng thể với hơn 11,1 terabyte.

Tác động hoạt động mở rộng rất xa ngoài các sự cố cá nhân. Quý 1 năm 2025 chứng kiến 158 cuộc tấn công ransomware vào lĩnh vực y tế, đánh dấu mức tăng nhẹ so với 154 vào Quý 4 năm 2024 và tiếp tục xu hướng tăng từ 109 sự cố vào Quý 3 năm 2024. Các cuộc tấn công này chiếm khoảng 6,5% trong tổng số 2.429 cuộc tấn công ransomware được báo cáo trên tất cả các lĩnh vực trong cùng kỳ.

Các cuộc tấn công ransomware xuyên biên giới nhắm mục tiêu vào các nhà cung cấp dịch vụ chăm sóc sức khỏe và các dịch vụ bên thứ ba quan trọng đã gây ra sự gián đoạn và chậm trễ đáng kể cho việc cung cấp dịch vụ chăm sóc sức khỏe, dẫn đến rủi ro đối với an toàn bệnh nhân và cộng đồng khi mất quyền truy cập vào thông tin tại chỗ và dựa trên đám mây, công nghệ y tế và hệ thống vận hành buộc các tổ chức phải đóng mạng nội bộ và ngắt kết nối khỏi internet.

Kẻ thù đã điều chỉnh chiến thuật của chúng đặc biệt cho các mục tiêu y tế. Tỷ lệ các nhà cung cấp dịch vụ y tế bị tấn công chỉ bằng tống tiền—nơi dữ liệu không bị mã hóa nhưng vẫn bị yêu cầu tiền chuộc—tăng gấp ba lần lên 12% các cuộc tấn công vào năm 2025 từ chỉ 4% vào năm 2022-2023, đại diện cho tỷ lệ cao nhất được báo cáo trong các cuộc khảo sát và có thể phản ánh tính nhạy cảm cao của dữ liệu y tế, bao gồm hồ sơ bệnh nhân.

Sự phát triển này đã chứng minh cách các tác nhân đe dọa nhận ra rằng chỉ riêng mối đe dọa tiết lộ thông tin sức khỏe được bảo vệ có thể hiệu quả như việc gián đoạn hoạt động thông qua mã hóa.

Các Sự Cố Ransomware Đáng Chú Ý

Vụ Tấn Công Change Healthcare (Tháng 2 năm 2024)

Cuộc tấn công ransomware vào Change Healthcare vào tháng 2 năm 2024 được coi là cuộc tấn công mạng đáng kể và có hậu quả nhất chống lại hệ thống y tế Hoa Kỳ trong lịch sử, với những hệ lụy kéo dài đến năm 2025.

Change Healthcare, một công ty con của UnitedHealth Group và là một trong những công ty xử lý thanh toán y tế lớn nhất ở Hoa Kỳ—xử lý khoảng 15 tỷ giao dịch y tế hàng năm và xử lý một trong mỗi ba hồ sơ bệnh nhân—đã trở thành nạn nhân của nhóm ransomware ALPHV/BlackCat.

Cuộc tấn công bắt đầu vào ngày 12 tháng 2 năm 2024, khi kẻ tấn công giành quyền truy cập ban đầu thông qua một ứng dụng quan trọng thiếu xác thực đa yếu tố—một sự sơ suất bảo mật gây sốc với tính chất nhạy cảm của dữ liệu mà Change Healthcare xử lý và vai trò trung tâm của nó trong cơ sở hạ tầng y tế Hoa Kỳ.

Lỗ hổng cho phép xâm phạm thông tin xác thực trên một ứng dụng cho phép truy cập hệ thống từ xa, và kẻ tấn công đã dành chín ngày di chuyển ngang qua mạng, trích xuất dữ liệu và chuẩn bị triển khai ransomware trước khi phát động cuộc tấn công vào ngày 21 tháng 2. Công ty buộc phải ngắt kết nối hơn 100 hệ thống để ngăn chặn tác động thêm, khiến hoạt động gần như ngừng trệ.

Cuộc điều tra pháp y xác nhận các tác nhân đe dọa đã có quyền truy cập vào hệ thống của Change Healthcare từ ngày 17 đến ngày 20 tháng 2 năm 2024, trong thời gian đó họ tuyên bố đã đánh cắp 6 terabyte dữ liệu, bao gồm hồ sơ y tế, số an sinh xã hội bệnh nhân, thông tin về quân nhân đang tại ngũ, tên, thông tin liên hệ, ngày sinh và thông tin sức khỏe được bảo vệ rộng rãi.

Thời gian tồn tại kéo dài cho thấy những điểm yếu tiềm ẩn trong khả năng phát hiện và phản ứng mối đe dọa. Quyền truy cập cuối cùng được xác nhận là đã có được thông qua một dịch vụ truy cập từ xa Citrix dễ bị tấn công thiếu xác thực đa yếu tố.

UnitedHealth Group, thông qua công ty con Optum, đã trả 22 triệu USD tiền chuộc để đảm bảo xóa dữ liệu bị đánh cắp. Tuy nhiên, nhóm ransomware BlackCat đã thực hiện một vụ lừa đảo rút lui, bỏ túi khoản tiền chuộc mà không bồi thường cho chi nhánh đã thực hiện cuộc tấn công.

Chi nhánh bị thiệt hại sau đó đã giữ một bản sao dữ liệu bị đánh cắp và tham gia hoạt động ransomware RansomHub, nhóm này đã tìm kiếm một khoản thanh toán tiền chuộc bổ sung vào giữa tháng 4 năm 2024. RansomHub đã công bố các phần của tệp bị đánh cắp dường như chứa hồ sơ bệnh nhân riêng tư và nhạy cảm làm bằng chứng về mối đe dọa của nhóm, mặc dù không có khoản thanh toán thứ hai nào được thực hiện.

Vụ vi phạm cuối cùng đã ảnh hưởng đến ước tính 192,7 triệu cá nhân—hơn 2,5 lần kích thước của vụ vi phạm dữ liệu y tế lớn nhất trước đó (vụ vi phạm 78,8 triệu hồ sơ tại Anthem Inc. vào năm 2015) và đại diện cho gần một phần ba dân số Hoa Kỳ.

Điều này khiến nó không chỉ là vụ vi phạm dữ liệu y tế lớn nhất mà còn là một trong những vụ vi phạm dữ liệu lớn nhất từng được báo cáo trên bất kỳ lĩnh vực nào. Cuộc tấn công đã gây ra các sự cố ngừng hoạt động kéo dài vài tuần và làm tê liệt nghiêm trọng quá trình xử lý yêu cầu, gây gián đoạn lớn đến chu kỳ doanh thu của các nhà cung cấp.

Dữ liệu khảo sát từ Hiệp hội Y khoa Hoa Kỳ tiết lộ rằng 80% các phòng khám bác sĩ bị mất doanh thu từ các yêu cầu chưa thanh toán, 60% đối mặt với thách thức trong việc xác minh đủ điều kiện bệnh nhân, 75% gặp phải rào cản trong việc gửi yêu cầu, 79% không thể nhận được tư vấn chuyển tiền điện tử và 85% trải qua gián đoạn trong các khoản thanh toán yêu cầu.

Tác động tài chính là đáng kể đối với các phòng khám nhỏ hơn và bệnh viện nông thôn, với một số đối mặt với nguy cơ đóng cửa do gián đoạn kéo dài. UnitedHealth Group ước tính vụ vi phạm có thể gây thiệt hại vượt quá 1,5 tỷ USD, bao gồm chi phí trực tiếp để ứng phó với cuộc tấn công và khôi phục hệ thống cộng với các trách nhiệm pháp lý tiềm ẩn, phạt quy định và thiệt hại danh tiếng.

Sự cố này đã thúc đẩy sự tập trung mới vào các yêu cầu an ninh mạng cơ bản trong y tế, với OCR đề xuất cập nhật Quy tắc Bảo mật HIPAA yêu cầu xác thực đa yếu tố bắt buộc—trực tiếp giải quyết lỗ hổng đã cho phép vụ vi phạm Change Healthcare.

Vụ Tấn Công Synnovis (Tháng 6 năm 2024)

Cuộc tấn công ransomware vào ngày 3 tháng 6 năm 2024, vào Synnovis—một liên doanh bệnh lý giữa Guy’s and St Thomas’ NHS Foundation Trust, King’s College Hospital NHS Foundation Trust và SYNLAB cung cấp dịch vụ chẩn đoán và xét nghiệm trên khắp đông nam London—đã chứng minh những hậu quả thực tế tàn khốc của ransomware y tế.

Nhóm ransomware Qilin đã thực hiện cuộc tấn công, gây tác động hoạt động lớn đến các quy trình và dịch vụ tại nhiều bệnh viện NHS lớn, bao gồm Bệnh viện King’s College, Bệnh viện Guy’s, Bệnh viện St Thomas’, Bệnh viện Royal Brompton và Bệnh viện Nhi đồng Evelina London.

Cuộc tấn công dẫn đến gián đoạn đáng kể các cuộc hẹn xét nghiệm bệnh lý không khẩn cấp và truyền máu, những cuộc hẹn này đã bị hủy, hoãn hoặc chuyển hướng sang các nhà cung cấp khác. Tình trạng thiếu máu xuất hiện trên khắp London, và các bệnh viện bị ảnh hưởng buộc phải hủy hơn 800 ca phẫu thuật đã lên kế hoạch và 700 cuộc hẹn khám bệnh ngoại trú. Sự chậm trễ đối với hơn 11.000 cuộc hẹn khám bệnh ngoại trú và thủ thuật tự chọn đại diện cho sự gián đoạn hoạt động lớn kéo dài trong nhiều tháng sau vụ vi phạm ban đầu.

Các hacker Qilin đã tiêm phần mềm độc hại vào hệ thống CNTT của Synnovis, khóa toàn bộ mạng máy tính cho đến khi thanh toán tiền chuộc sẽ khôi phục quyền kiểm soát và loại bỏ ransomware. Dữ liệu bị đánh cắp bao gồm các chi tiết bệnh nhân nhạy cảm như tên, ngày sinh, số NHS và mô tả xét nghiệm máu, cùng với các bảng tính tài khoản kinh doanh chi tiết các giao dịch tài chính giữa các bệnh viện, dịch vụ GP và Synnovis.

Kẻ tấn công yêu cầu khoảng 50 triệu USD tiền chuộc, mà Synnovis và các đối tác NHS Trust của họ đã từ chối thanh toán, phản ánh cam kết tuân thủ các nguyên tắc đạo đức và từ chối tài trợ cho các hoạt động tội phạm mạng trong tương lai đe dọa hạ tầng trọng yếu, quyền riêng tư của bệnh nhân và an ninh quốc gia.

Khi tiền chuộc không được thanh toán, Qilin đã công bố khoảng 400GB dữ liệu riêng tư trên trang darknet của họ vào ngày 20 tháng 6 năm 2024, khiến Synnovis phải thông báo cho Văn phòng Ủy viên Thông tin và đảm bảo lệnh cấm hợp pháp để ngăn chặn việc sử dụng thêm dữ liệu.

Việc xem xét pháp y dữ liệu bị đánh cắp mất hơn một năm để hoàn thành, yêu cầu một nhóm lớn các chuyên gia pháp y và chuyên gia dữ liệu để tổng hợp thông tin không có cấu trúc, không đầy đủ và bị phân mảnh bằng cách sử dụng các nền tảng rất chuyên biệt và các quy trình tùy chỉnh. Đến tháng 11 năm 2025, Synnovis bắt đầu thông báo cho các tổ chức bị ảnh hưởng—có khả năng bao gồm bất kỳ người dùng dịch vụ nào của Synnovis trên khắp nước Anh—mặc dù các thông báo cho bệnh nhân được xử lý bởi các tổ chức NHS bị ảnh hưởng chứ không phải trực tiếp bởi Synnovis.

Điều tàn khốc nhất, King’s College Hospital NHS Foundation Trust đã xác nhận vào tháng 6 năm 2025 rằng một cuộc điều tra sự cố an toàn bệnh nhân chi tiết đã xác định cuộc tấn công mạng là một yếu tố góp phần dẫn đến một trường hợp bệnh nhân tử vong không mong muốn.

Mặc dù cuộc điều tra đã xác định một số yếu tố góp phần, một trong những yếu tố chính là thời gian chờ đợi kết quả xét nghiệm máu lâu do tác động của cuộc tấn công mạng đến các dịch vụ xét nghiệm bệnh lý. Điều này đại diện cho một trong những trường hợp đầu tiên được xác nhận về một cuộc tấn công ransomware trực tiếp góp phần vào tỷ lệ tử vong của bệnh nhân, nhấn mạnh tầm quan trọng sinh tử của an ninh mạng trong y tế.

Cuộc tấn công được báo cáo đã tiêu tốn của Synnovis hơn 32 triệu bảng Anh (43 triệu USD) tính đến tháng 1 năm 2025, với hơn 900.000 bệnh nhân được cho là đã bị đánh cắp dữ liệu—mặc dù xác nhận chính xác vẫn đang chờ hoàn thành việc xem xét pháp y.

Giám đốc điều hành Synnovis, Mark Dollar, đã bày tỏ sự đau buồn sâu sắc khi cuộc tấn công mạng tội phạm được công nhận là góp phần vào cái chết của bệnh nhân, gửi lời chia buồn đến gia đình bị ảnh hưởng. Sự cố này đã làm nổi bật lý do tại sao các tổ chức NHS thường xuyên bị nhắm mục tiêu, với những kẻ tấn công nhận ra bản chất quan trọng của các dịch vụ chăm sóc sức khỏe và áp lực rất lớn để khôi phục hoạt động nhanh chóng bất kể tư thế bảo mật.

Khai Thác Lỗ Hổng MOVEit Transfer (Tháng 5-6 năm 2023)

Việc khai thác lỗ hổng MOVEit Transfer bởi nhóm ransomware Cl0p vào tháng 5-6 năm 2023 tiếp tục lan rộng đến năm 2025 như một trong những cuộc tấn công chuỗi cung ứng lớn nhất và có hậu quả nhất trong lịch sử ransomware.

Vào ngày 27 tháng 5 năm 2023, Cl0p bắt đầu khai thác CVE-2023-34362(Top 10 lỗ hổng bị khai thác), một lỗ hổng zero-day SQL injection nghiêm trọng trong phần mềm truyền tệp MOVEit do Progress Software phát triển, được hàng nghìn tổ chức trên nhiều lĩnh vực khác nhau sử dụng, bao gồm tài chính, y tế và giáo dục, để truyền một lượng lớn dữ liệu nhạy cảm một cách an toàn.

Việc khai thác cho phép kẻ tấn công đột nhập vào các máy chủ hướng ra công chúng bằng cách sử dụng SQL injection, giành quyền truy cập trái phép vào các cơ sở dữ liệu MOVEit. Sau khi xâm nhập hệ thống, hacker đã cài đặt một web shell tùy chỉnh có tên LEMURLOOT—được ngụy trang giống một tệp MOVEit hợp pháp có tên human2.aspx—hoạt động như một cửa hậu bí mật cho phép tội phạm mạng khám phá các tệp được lưu trữ và đánh cắp massive amounts of data from Microsoft Azure Blob Storage cloud solutions mà không bị phát hiện.

Web shell sử dụng các tiêu đề HTTP tùy chỉnh (X-siLock-Step1, X-siLock-Step2 và X-siLock-Step3) hoạt động như các giai đoạn trong việc thực thi payload và quản lý phản hồi, cho phép các nhà điều hành Cl0p chuỗi các lệnh và tự động hóa việc trích xuất dữ liệu.

Một trong những tính năng gây hại nhất của LEMURLOOT là khả năng tạo các tài khoản đặc quyền trong cơ sở dữ liệu MOVEit Transfer bằng cách sử dụng tên người dùng được tạo ngẫu nhiên nhưng xuất hiện trong hệ thống dưới nhãn vô hại “Health Check Service,” cho phép truy cập bền bỉ và các đặc quyền nâng cao.

Chỉ trong vài ngày sau lần khai thác đầu tiên vào ngày 27 tháng 5 năm 2023, hàng nghìn tổ chức đã bị xâm phạm trên toàn thế giới, với CISA ước tính rằng hơn 3.000 thực thể Hoa Kỳ và 8.000 tổ chức toàn cầu bị ảnh hưởng. Các nạn nhân bao gồm các tổ chức tài chính, hãng hàng không, trường đại học, cơ quan chính phủ và nhà cung cấp dịch vụ y tế, cho thấy một lỗ hổng zero-day duy nhất trong các hệ thống truyền tệp được triển khai rộng rãi có thể lan truyền qua toàn bộ chuỗi cung ứng như thế nào.

Tác động cuối cùng chứng tỏ rất đáng kinh ngạc: ít nhất 66,4 triệu cá nhân đã bị đánh cắp dữ liệu nhạy cảm từ hơn 2.500 công ty trong một sự kiện được mô tả là “thảm họa quyền riêng tư toàn cầu”. Cl0p được báo cáo đã thử nghiệm lỗ hổng và quyền truy cập vào các cơ sở dữ liệu MOVEit từ tháng 7 năm 2021, chứng tỏ trinh sát và chuẩn bị dài hạn.

Progress Software lần đầu tiên được thông báo về hoạt động đáng ngờ vào ngày 28 tháng 5 năm 2023, và đến ngày 31 tháng 5 đã xác định được lỗ hổng chưa biết trước đó, nhanh chóng thông báo cho khách hàng và vá lỗ hổng. Các đánh giá mã MOVEit đã dẫn đến việc phát hiện năm lỗ hổng zero-day bổ sung đã được vá kịp thời vào ngày 6 tháng 7 năm 2023.

Cuộc tấn công này đại diện cho một sự thay đổi trong hoạt động ransomware, với Cl0p tập trung hoàn toàn vào việc trích xuất dữ liệu thay vì mã hóa, biết rằng việc phơi bày trên các trang rò rỉ có thể gây hại như thời gian ngừng hoạt động và thường khó phục hồi hơn.

Nhóm này đã cho các công ty bị ảnh hưởng đến ngày 14 tháng 6 năm 2023 để trả tiền chuộc, sau đó bắt đầu tạo các trang web clearweb để rò rỉ dữ liệu bị đánh cắp cho các tổ chức từ chối thanh toán, bao gồm các trang cho PwC, Aon, EY, Kirkland và TD Ameritrade nơi dữ liệu công ty bị rò rỉ được đăng trong các tệp lưu trữ ZIP được chia nhỏ. Cl0p tuyên bố đã xóa tất cả dữ liệu bị đánh cắp từ các dịch vụ chính phủ, thành phố và cảnh sát, nói rằng họ “không có ý định phơi bày thông tin đó”, mặc dù tính xác thực của tuyên bố này vẫn chưa được xác minh.

Vụ vi phạm MOVEit theo sau mô hình đã được thiết lập của Cl0p trong việc khai thác các nền tảng truyền tệp được quản lý, với các chiến dịch trước đó nhắm mục tiêu vào Accellion’s File Transfer Appliance (2020-2021) và Fortra’s GoAnywhere MFT (đầu năm 2023).

Các cuộc tấn công kiểu chuỗi cung ứng này đã chứng tỏ “hiệu quả tàn nhẫn”, cho phép Cl0p nhắm mục tiêu hàng trăm nạn nhân đồng thời bằng cách viết hoặc mua các exploit cho các sản phẩm MFT phổ biến, quét internet để tìm các máy chủ dễ bị tấn công và tự động hóa hoàn toàn việc khai thác trên tất cả chúng—như đã thấy khi Cl0p xâm phạm khoảng 2.500 máy chủ MOVEit bị phơi bày trong một khoảng thời gian ngắn.

Xu hướng khai thác phần mềm MFT đã làm nổi bật một sự thay đổi cơ bản trong các chiến thuật ransomware hướng tới đánh cắp dữ liệu và tống tiền thông qua các khai thác chuỗi cung ứng, với các cuộc tấn công hàng loạt vào Accellion, GoAnywhere, MOVEit và sau đó là Cleo vào cuối năm 2024 cho thấy một mô hình lặp lại: tìm một lỗ hổng zero-day trong các sản phẩm truyền tệp được sử dụng rộng rãi, tấn công hàng loạt, đánh cắp các tệp nhạy cảm hàng loạt và tống tiền từng công ty nạn nhân.

Các Vụ Tấn Công Ransomware Khác Đáng Chú Ý Năm 2025

Ngoài những sự cố nổi bật này, năm 2025 chứng kiến nhiều cuộc tấn công ransomware đáng kể khác, chứng minh phạm vi rộng và sự dai dẳng của mối đe dọa trên tất cả các lĩnh vực. Ingram Micro (Ingram Micro khôi phục hoạt động), một nhà phân phối CNTT toàn cầu hàng đầu xử lý khoảng 15 tỷ giao dịch hàng năm, suffered a severe attack vào tháng 7 năm 2025 được quy cho nhóm hacker SafePay.

Vụ vi phạm đã làm gián đoạn hoạt động trên toàn thế giới, buộc công ty phải ngừng hoạt động các hệ thống quan trọng và ảnh hưởng đến khả năng xử lý đơn hàng và vận chuyển sản phẩm. SafePay tuyên bố đã đánh cắp 3,5 terabyte dữ liệu nhạy cảm bao gồm thông tin khách hàng và tài liệu nội bộ, đe dọa phát hành trừ khi tiền chuộc được thanh toán, với cuộc tấn công gây thiệt hại doanh thu ước tính 136 triệu USD mỗi ngày.

Qantas (Rò rỉ dữ liệu Qantas) đã trải qua một vụ rò rỉ dữ liệu lớn vào tháng 10 năm 2025 khi các hacker từ Scattered Lapsus$ Hunters—một liên minh của các thành viên Scattered Spider, ShinyHunters và Lapsus$ được báo cáo đã làm rò rỉ thông tin cá nhân của 5,7 triệu khách hàng sau khi thời hạn tiền chuộc hết hạn vào ngày 11 tháng 10.

Nhóm này tuyên bố đã đánh cắp dữ liệu từ 39 công ty sử dụng hệ thống dựa trên Salesforce, ảnh hưởng đến hơn một tỷ hồ sơ trên toàn thế giới, với các nạn nhân khác bao gồm Toyota, Disney, McDonald’s và HBO Max. Việc khai thác các tích hợp Salesforce đã chứng minh cách các tác nhân đe dọa nhắm mục tiêu vào các nền tảng kinh doanh dựa trên đám mây để đạt được tác động lớn đến nhiều nạn nhân thông qua các chuỗi lỗ hổng đơn lẻ.

Tại Vương quốc Anh, Marks & Spencer (Marks & Spencer xác nhận tấn công mạng), Co-op (Co-op đóng hệ thống CNTT) và Harrods (Harrods rò rỉ dữ liệu) đều trải qua gián đoạn do các cuộc tấn công ransomware vào tháng 7 năm 2025, với bốn cá nhân trong độ tuổi từ 17 đến 20 bị bắt liên quan đến chiến dịch được quy cho Scattered Spider. Các cuộc tấn công đã làm nổi bật sự tập trung của nhóm vào các mục tiêu bán lẻ nổi tiếng và chứng minh cách các tác nhân đe dọa tương đối trẻ tận dụng kỹ thuật xã hội tinh vi có thể tác động đến các tập đoàn đa quốc gia lớn.

Nhóm ransomware Hunters International (Hunters International và Hive ransomware) đã thêm Nikki-Universal Co. Ltd, một nhà sản xuất hóa chất lớn, vào danh sách nạn nhân của mình vào tháng 1 năm 2025, với tổ chức này xác nhận cuộc tấn công và tuyên bố một cuộc điều tra đang diễn ra. Nhóm này tuyên bố đã trích xuất 476.342 tệp tổng cộng 761,8GB trong sự cố, mặc dù yêu cầu tiền chuộc không được công khai.

Sunflower Medical Group, một nhà cung cấp dịch vụ y tế có trụ sở tại Kansas, bị nhóm Rhysida đánh cắp hơn 3TB dữ liệu, nhóm này đã đăng tổ chức lên trang rò rỉ darknet của mình tuyên bố sở hữu hơn 400.000 giấy phép lái xe, thẻ bảo hiểm, số an sinh xã hội và một cơ sở dữ liệu SQL. Nhóm này đã chia sẻ một mẫu dữ liệu được cho là bị đánh cắp cùng với yêu cầu tiền chuộc là 10 BTC, tương đương với chỉ dưới 10 triệu USD.

Tộc người Sault Ste. Marie Chippewa ở Michigan đã trải qua một cuộc tấn công RansomHub làm ngừng hoạt động nhiều hệ thống máy tính và điện thoại trong một khoảng thời gian không xác định trên nhiều tổ chức bao gồm sòng bạc, trung tâm y tế và các doanh nghiệp khác nhau.

Các tác nhân đe dọa tuyên bố đã trích xuất 119GB thông tin bí mật từ bộ tộc, với một số hãng tin tức báo cáo yêu cầu tiền chuộc là 5 triệu USD. Nhà bán lẻ rượu WineLab buộc phải ngừng hoạt động bán lẻ và dịch vụ trực tuyến sau một cuộc tấn công ransomware Akira đã làm gián đoạn nghiêm trọng cơ sở hạ tầng CNTT và dịch vụ khách hàng.

Những sự cố này tập thể minh họa rằng không có lĩnh vực, quy mô tổ chức hay khu vực địa lý nào miễn nhiễm với các mối đe dọa ransomware vào năm 2025. Các cuộc tấn công dao động từ các cuộc tấn công có mục tiêu vào các thực thể giá trị cao cụ thể đến các chiến dịch khai thác hàng loạt tận dụng các lỗ hổng chuỗi cung ứng, với tác động tài chính từ hàng triệu đến hàng tỷ đô la và gián đoạn hoạt động kéo dài từ vài ngày đến vài tháng.

Tổng Kết Tình Hình Ransomware và Triển Vọng

Ransomware vào năm 2025 trình bày một nghịch lý rõ ràng định hình bối cảnh an ninh mạng hiện tại. Khối lượng tấn công đạt mức chưa từng có với 4.701 sự cố được xác nhận trên toàn cầu từ tháng 1 đến tháng 9, tăng 34% so với năm 2024, nhưng tỷ lệ thanh toán tiền chuộc giảm xuống mức thấp kỷ lục 23-25%, buộc một sự điều chỉnh thị trường cơ bản trong nền kinh tế tội phạm mạng.

Sự tương phản này làm nổi bật sự phát triển của khả năng phòng thủ và sự tuyệt vọng ngày càng tăng của các tác nhân đe dọa. Các nhóm này đã phân mảnh thành 85 phe phái hoạt động riêng biệt, tăng cường tập trung vào hạ tầng trọng yếu. Họ cũng đang phát triển các chiến thuật tống tiền đa lớp tinh vi hơn kết hợp mã hóa, đánh cắp dữ liệu, tấn công DDoS và quấy rối các bên liên quan.

Năm nay đã chứng minh một cách rõ ràng rằng ransomware đã vượt qua nguồn gốc của nó như một tội phạm mạng có động cơ tài chính để trở thành một mối đe dọa chiến lược đối với an ninh quốc gia và ổn định toàn cầu.

Với 50% các cuộc tấn công nhắm mục tiêu vào các lĩnh vực hạ tầng trọng yếu, bao gồm sản xuất, y tế, năng lượng, giao thông vận tải và tài chính, các nhà điều hành ransomware đã nắm giữ các khả năng để gây bất ổn các dịch vụ thiết yếu, làm gián đoạn chuỗi cung ứng, gây nguy hiểm cho an toàn bệnh nhân và làm suy yếu lòng tin của công chúng vào các tổ chức.

Sự đóng góp được xác nhận của cuộc tấn công Synnovis vào cái chết của một bệnh nhân, chi phí 1,5 tỷ USD của vụ vi phạm Change Healthcare ảnh hưởng đến 192,7 triệu cá nhân và 66,4 triệu nạn nhân của cuộc tấn công chuỗi cung ứng MOVEit đều minh họa rằng hậu quả của ransomware giờ đây vượt xa việc mã hóa dữ liệu và tống tiền tài chính để bao gồm các mối đe dọa đến tính mạng con người, an ninh kinh tế và khả năng phục hồi của xã hội.

Sự tinh vi trong hoạt động được thể hiện bởi các nhóm thống trị như Qilin (701 nạn nhân), Cl0p (392 nạn nhân Quý 1 chỉ từ khai thác Cleo), LockBit (tái sinh với phiên bản 5.0), Play (900 tổng số nạn nhân) và các mối đe dọa mới nổi như Scattered Spider đã chứng minh rằng các tác nhân ransomware liên tục thích nghi với những cải tiến phòng thủ và áp lực của cơ quan thực thi pháp luật.

Sự phổ biến của các nền tảng Ransomware-as-a-Service, lạm dụng các công cụ truy cập từ xa hợp pháp, khai thác các lỗ hổng zero-day trong phần mềm được triển khai rộng rãi, nhắm mục tiêu vào cơ sở hạ tầng đám mây và ảo hóa, và việc sử dụng lừa đảo được tăng cường bởi AI đã cùng nhau tiết lộ một hệ sinh thái kẻ thù ngày càng có khả năng và kiên cường bất chấp những gián đoạn đáng kể.

Tuy nhiên, sự sụt giảm đáng kể trong tỷ lệ thanh toán từ hơn 50% trong những năm trước xuống 23-25% vào năm 2025 mang lại hy vọng rằng mô hình kinh doanh ransomware đang đối mặt với những thách thức hiện sinh. Các tổ chức ngày càng chứng tỏ rằng khả năng sao lưu và phục hồi được cải thiện, sự chuẩn bị phản ứng sự cố mạnh mẽ và việc từ chối tài trợ cho các doanh nghiệp tội phạm có thể phá vỡ các động cơ kinh tế thúc đẩy sự phổ biến của ransomware.

Sự sụt giảm tổng doanh thu ransomware từ 1,1 tỷ USD năm 2023 xuống khoảng 813,6 triệu USD năm 2024, bất chấp khối lượng tấn công tăng vọt, đã chứng minh rằng các khoản đầu tư phòng thủ và quyết định chính sách có thể tác động đáng kể đến lợi nhuận của kẻ thù.

Nhìn về phía trước, mối đe dọa ransomware có khả năng sẽ tiếp tục phát triển theo một số quỹ đạo: phân mảnh và chuyên môn hóa hơn nữa khi các nhóm nhỏ hơn lấp đầy các khoảng trống do các hoạt động lớn bị gián đoạn, nhắm mục tiêu tăng cường vào công nghệ vận hành và cơ sở hạ tầng đám mây cho phép gián đoạn tối đa với đòn bẩy chiến lược, tăng cường sử dụng AI và tự động hóa cho cả việc tăng cường tấn công và né tránh phòng thủ, và tích hợp sâu hơn với các mục tiêu của nhà nước làm mờ ranh giới giữa tội phạm mạng có động cơ tài chính và các hoạt động mạng chiến lược.

Các tổ chức phải ứng phó bằng cách coi khả năng phục hồi mạng là một trụ cột cốt lõi của chiến lược an ninh quốc gia, ưu tiên các biện pháp phòng ngừa chủ động, duy trì giám sát liên tục, thời gian thực, thiết lập các tiêu chuẩn phục hồi theo từng lĩnh vực, đầu tư vào khả năng ứng phó và phục hồi sự cố, và thúc đẩy hợp tác quốc tế để phá vỡ cơ sở hạ tầng xuyên biên giới cho phép các cuộc tấn công này.

Năm 2025 đánh dấu một bước ngoặt trong bối cảnh ransomware, khi các cuộc tấn công đạt đến quy mô và sự tinh vi chưa từng có, nhưng kinh tế thanh toán bắt đầu thay đổi cơ bản chống lại kẻ thù.

Liệu điểm uốn này báo trước sự suy giảm dần dần khả năng tồn tại của ransomware hay chỉ đơn thuần đại diện cho một sự điều chỉnh tạm thời trước khi các tác nhân đe dọa thích nghi với thực tế thị trường mới sẽ phụ thuộc vào cam kết bền vững từ các chính phủ, ngành công nghiệp và các đối tác toàn cầu để tăng cường phòng thủ, từ chối lợi nhuận của tội phạm và đảm bảo ransomware không thể tiếp tục đe dọa sự an toàn, ổn định và an ninh của xã hội hiện đại.