Nhóm mã độc ransomware Qilin đã củng cố vị thế là tác nhân đe dọa tích cực nhất trong tháng 7 năm 2025. Đây là lần thứ ba trong bốn tháng nhóm này đứng đầu bảng xếp hạng, tiếp nối sự sụt giảm của thủ lĩnh cũ RansomHub. Theo thông tin tình báo an ninh mạng từ Cyble, Qilin đã nhận trách nhiệm cho 73 nạn nhân trên trang web rò rỉ dữ liệu (DLS) của mình. Con số này chiếm khoảng 17% trong tổng số 423 sự cố ransomware được báo cáo trong tháng.

Sự gia tăng này nhấn mạnh mô hình ransomware-as-a-service (RaaS) đầy tính xâm lược của Qilin. Mô hình này tận dụng việc tuyển dụng các chi nhánh tinh vi cùng các cải tiến hoạt động để vượt trội so với các đối thủ.

Diễn Biến Nổi Bật về Mã Độc Ransomware

Sự Lên Ngôi của Qilin Ransomware

Qilin đã chứng minh khả năng mở rộng quy mô hoạt động đáng kể. Thành công của nhóm này được thúc đẩy bởi chiến lược RaaS hiệu quả. Mô hình này cho phép Qilin nhanh chóng mở rộng phạm vi và tăng số lượng nạn nhân thông qua mạng lưới các đối tác được trang bị tốt.

INC Ransom đứng thứ hai với 59 nạn nhân. Nhóm này duy trì hoạt động mạnh mẽ nhờ các cuộc tấn công có mục tiêu vào các ngành cơ sở hạ tầng trọng yếu. Số lượng công bố nạn nhân của INC Ransom cũng tăng lên đáng kể, cho thấy mức độ hoạt động cao.

Xu Hướng Tổng Thể và Địa Lý Tấn Công

Tổng số nạn nhân trong tháng 7 phản ánh tháng thứ ba liên tiếp gia tăng hoạt động ransomware. Hoạt động này phục hồi từ đợt suy giảm kéo dài ba tháng, đạt mức thấp nhất là 402 sự cố vào tháng 5. Tuy nhiên, con số này vẫn cao hơn đáng kể so với mức thấp trong các năm trước, ví dụ 161 vào tháng 1 năm 2023 và 243 vào tháng 1 năm 2024.

Xu hướng tăng này, dù chỉ bằng một nửa kỷ lục 854 cuộc tấn công của tháng 2 do các nhóm như CL0P và RansomHub gây ra, vẫn cho thấy sự leo thang lâu dài và bền bỉ của các mối đe dọa mạng. Các tác nhân tấn công đang khai thác các lỗ hổng trong chuỗi cung ứng và nhắm mục tiêu vào các tổ chức có giá trị cao.

Về địa lý, Hoa Kỳ chịu ảnh hưởng nặng nề nhất từ các cuộc tấn công này, với 223 nạn nhân. Con số này gấp tám lần so với Canada, quốc gia bị nhắm mục tiêu nhiều thứ hai. Bắc Mỹ chiếm ưu thế là khu vực bị ảnh hưởng chính, tiếp theo là Châu Âu, nơi các quốc gia như Ý, Vương quốc Anh, Đức, Pháp và Tây Ban Nha báo cáo số lượng sự cố cao nhất.

Trong khu vực Châu Á – Thái Bình Dương (APAC), Thái Lan, Nhật Bản và Singapore mỗi quốc gia ghi nhận sáu sự cố. Ấn Độ và Philippines cũng theo sát. Tại khu vực Châu Âu, Trung Đông và Châu Phi (EMEA), Thổ Nhĩ Kỳ và Ả Rập Xê Út phải chịu đựng nhiều cuộc tấn công nhất. Australia vẫn là tâm điểm trong khu vực Australia – New Zealand (ANZ) với năm trường hợp được báo cáo.

Các Ngành Bị Ảnh Hưởng Nghiêm Trọng

Phân tích theo ngành nghề cho thấy dịch vụ chuyên nghiệp và xây dựng là những lĩnh vực bị ảnh hưởng nặng nề nhất. Các lĩnh vực này chiếm hơn một phần tư tổng số các cuộc tấn công. Tiếp theo là sản xuất, chăm sóc sức khỏe và công nghệ thông tin.

Các nhà nghiên cứu của Cyble đã xác định 25 sự cố có khả năng ảnh hưởng đến cơ sở hạ tầng trọng yếu trong tháng 7. Các sự cố này bao gồm các lĩnh vực chính phủ, cơ quan thực thi pháp luật, năng lượng, tiện ích và viễn thông. Ngoài ra, có 20 trường hợp liên quan đến hậu quả chuỗi cung ứng do các nhà cung cấp phần mềm ứng dụng bị xâm phạm. Chi tiết hơn có thể tham khảo báo cáo của Cyble tại: Ransomware Groups: July 2025 Attacks Analysis.

Phân Tích Kỹ Thuật Các Cuộc Tấn Công

Lỗ Hổng CVE Bị Khai Thác

Tháng 7 cũng chứng kiến sự xuất hiện của gần 40 biến thể mã độc ransomware mới và một số nhóm đe dọa mới nổi. Điều này làm nổi bật sự phát triển năng động của hệ sinh thái ransomware. Các lỗ hổng nghiêm trọng đã bị vũ khí hóa trong các chiến dịch này bao gồm:

• CVE-2023-48788: Lỗ hổng SQL Injection trong Fortinet FortiClientEMS.
• CVE-2019-18935: Lỗ hổng Deserialization trong Progress Telerik UI for ASP.NET AJAX.
• CVE-2025-5777: Lỗi Out-of-bounds Read trong Citrix NetScaler ADC và Gateway.
• Cụm lỗ hổng Microsoft SharePoint: CVE-2025-53770, CVE-2025-53771, CVE-2025-49704 và CVE-2025-49706.

Các khai thác này đã tạo điều kiện thuận lợi cho việc truy cập ban đầu và di chuyển ngang (lateral movement). Nhờ đó, các tác nhân tấn công có thể triển khai payload hiệu quả vào hệ thống nạn nhân. Việc nắm bắt thông tin về các lỗ hổng CVE bị khai thác là yếu tố then chốt để xây dựng hệ thống phòng thủ vững chắc.

Chiến Dịch Tấn Công Tiêu Biểu

Một số sự cố lớn được ghi nhận trong tháng 7 năm 2025 bao gồm:

• SafePay: Tuyên bố xâm nhập vào một nhà cung cấp công nghệ toàn cầu có trụ sở tại Hoa Kỳ. Nhóm này đã đánh cắp 3.5TB dữ liệu và làm gián đoạn các hệ thống phân phối và API.
• Akira: Nhắm mục tiêu vào một nhà thầu quốc phòng Hoa Kỳ. Nhóm này đã đánh cắp các tài liệu nhạy cảm, bao gồm hộ chiếu và hợp đồng.
• INC Ransom: Tấn công các tổ chức trong lĩnh vực tự động hóa tòa nhà, truyền tải điện, cơ sở hạ tầng dưới nước và các nhà cung cấp dịch vụ quản lý (MSP) trên khắp Hoa Kỳ và Canada.
• Warlock: Rò rỉ dữ liệu từ một công ty sản xuất của Ấn Độ.
• DevMan: Xâm phạm một cơ quan chính phủ Thái Lan thông qua Group Policy Objects (GPO). Nhóm này sau đó đổi tên thành DevMan 2.0 và nhắm mục tiêu vào các nạn nhân mới ở Nhật Bản.

Các nhóm mới nổi như BEAST, D4RK4RMY, Payouts King và Sinobi đã ra mắt các nền tảng DLS của riêng mình. Các mô hình hoạt động của chúng rất đa dạng, từ các chiến dịch dựa vào chi nhánh (affiliate-driven) đến các cấu trúc chỉ mời (invite-only).

Sự Phát Triển của Biến Thể Mã Độc Mới

Các biến thể như AiLock, KaWaLocker, DeadLock, Crux và phiên bản Linux của Gunra đã giới thiệu các tính năng tiên tiến. Chúng bao gồm mã hóa đa luồng, các sơ đồ lai (ví dụ: ChaCha20 với NTRUEncrypt hoặc RSA), các chiến thuật chống phân tích (anti-analysis) và khả năng tương thích đa nền tảng. Những cải tiến này giúp tăng cường khả năng tàng hình và tốc độ của các cuộc tấn công ransomware.

Khuyến Nghị và Chiến Lược Bảo Vệ

Tăng Cường Khả Năng Phục Hồi An Ninh Mạng

Sự đổi mới không ngừng của các nhà vận hành mã độc ransomware đòi hỏi các chiến lược phục hồi an ninh mạng mạnh mẽ. Việc triển khai các biện pháp sau đây là cần thiết để bảo vệ hệ thống:

• Phân đoạn mạng (Network Segmentation): Giới hạn sự lây lan của các cuộc tấn công bằng cách chia mạng thành các phân đoạn nhỏ hơn, cô lập.
• Kiến trúc Zero-Trust (Zero-Trust Architectures): Áp dụng nguyên tắc “không tin tưởng, luôn xác minh” đối với mọi người dùng và thiết bị, bất kể vị trí của họ.
• Sao lưu bất biến (Immutable Backups): Đảm bảo các bản sao lưu dữ liệu không thể bị sửa đổi hoặc xóa, cung cấp điểm khôi phục đáng tin cậy sau một cuộc tấn công.
• Quản lý lỗ hổng (Vulnerability Management): Thường xuyên quét, đánh giá và vá các lỗ hổng hệ thống để loại bỏ các điểm yếu mà tác nhân đe dọa có thể khai thác.
• Giám sát liên tục (Continuous Monitoring): Thực hiện giám sát 24/7 để phát hiện sớm các hoạt động đáng ngờ và phản ứng kịp thời trước các mối đe dọa.

Việc áp dụng đồng bộ các chiến lược này giúp tổ chức tăng cường khả năng đối phó, giảm thiểu rủi ro và nhanh chóng phục hồi sau các sự cố liên quan đến mã độc ransomware.