Duy Linh
Writer
Các cuộc tấn công bằng mã độc tống tiền đã tăng vọt trong năm 2025, với số nạn nhân toàn cầu lên tới 7.831 người. Sự gia tăng này cho thấy tội phạm mạng đang chuyển sang mô hình hoạt động có tổ chức cao, tận dụng trí tuệ nhân tạo để tự động hóa tấn công ở quy mô lớn.
Sự bùng nổ này chủ yếu được thúc đẩy bởi sự phổ biến của các công cụ tội phạm mạng ứng dụng AI như WormGPT, FraudGPT và BruteForceAI. Những công cụ này giúp giảm đáng kể rào cản gia nhập, cho phép cả các đối tượng có kỹ năng thấp cũng có thể thực hiện những chiến dịch tấn công tinh vi.
Một trong những thay đổi đáng chú ý nhất là thời gian khai thác lỗ hổng (TTE) ngày càng ngắn. Trong năm 2025, tin tặc có thể khai thác lỗ hổng chỉ trong vòng 24 đến 48 giờ sau khi được phát hiện, thay vì mức trung bình 4,76 ngày trước đây.
Trong một số trường hợp, hoạt động khai thác diễn ra chỉ vài giờ sau khi lỗ hổng bị công khai, điển hình như React2Shell.
Sự thay đổi này đến từ việc AI được sử dụng để trinh sát mục tiêu, quét lỗ hổng tự động và triển khai các bộ công cụ khai thác được xây dựng sẵn.
Dữ liệu từ FortiGuard Labs cho thấy số vụ tấn công mã độc tống tiền đã tăng gần 389% so với cùng kỳ năm trước, từ khoảng 1.600 vụ trong năm 2024.
Thay vì phụ thuộc vào quy trình thủ công, các nhóm tấn công hiện triển khai hệ thống thông minh để xác định mục tiêu, xây dựng lộ trình tấn công và thực hiện chiến dịch gần như ngay lập tức.
Nhiều chợ đen đang quảng bá công khai các công cụ như:
Báo cáo cho thấy ngành sản xuất, dịch vụ kinh doanh và bán lẻ là các lĩnh vực bị nhắm mục tiêu nhiều nhất. Ngành sản xuất ghi nhận 1.284 nạn nhân mã độc tống tiền, tiếp theo là dịch vụ kinh doanh với 824 nạn nhân và bán lẻ với 682 nạn nhân.
Về địa lý, Mỹ có số nạn nhân cao nhất với 3.381 trường hợp, tiếp theo là Canada với 374 và Đức với 291. Điều này phản ánh giá trị kinh tế lớn cũng như mức độ tiếp xúc kỹ thuật số cao tại các quốc gia này.
Các phần mềm đánh cắp thông tin như RedLine, Lumma và Vidar tiếp tục đóng vai trò quan trọng. Những biến thể này đã gây ra hàng triệu ca lây nhiễm, thu thập dữ liệu nhạy cảm gồm thông tin đăng nhập, dữ liệu trình duyệt và mã thông báo phiên.
Đáng chú ý, tin tặc đang chuyển từ việc sử dụng danh sách tài khoản đơn thuần sang “nhật ký đánh cắp”, nơi thông tin đăng nhập được kết hợp với dữ liệu ngữ cảnh để giúp việc chiếm quyền tài khoản diễn ra nhanh và hiệu quả hơn.
Số lượng các cuộc tấn công brute-force đã giảm 22% so với năm trước. Tuy nhiên, điều này không đồng nghĩa hoạt động tấn công suy giảm. Thay vào đó, hacker đang dùng AI để lựa chọn các mục tiêu có xác suất thành công cao hơn, giúp giảm số lần thử nhưng tăng tỷ lệ xâm nhập thành công.
Dù giảm về số lượng, các cuộc tấn công brute-force trên toàn cầu vẫn đạt quy mô cực lớn với hàng tỷ lượt thử mỗi tháng.
Để đối phó với mối đe dọa ngày càng gia tăng, hợp tác quốc tế đang được đẩy mạnh. “Chiến dịch Thẻ Đỏ 2.0” của INTERPOL, với sự hỗ trợ của Fortinet, đã triệt phá nhiều hạ tầng tội phạm mạng liên quan đến lừa đảo và gian lận tài chính.
Bên cạnh đó, các sáng kiến như Bản đồ tội phạm mạng và chương trình tiền thưởng mới đang được triển khai nhằm lập bản đồ mạng lưới tội phạm mạng và thúc đẩy chia sẻ thông tin tình báo.
Khi AI tiếp tục thay đổi cả chiến thuật tấn công lẫn phòng thủ, báo cáo nhấn mạnh rằng an ninh mạng phải phát triển với tốc độ tương đương các mối đe dọa hiện đại, nếu không sẽ nhanh chóng tụt hậu trước làn sóng tấn công ngày càng tự động hóa. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-powered-ransomware/
Sự bùng nổ này chủ yếu được thúc đẩy bởi sự phổ biến của các công cụ tội phạm mạng ứng dụng AI như WormGPT, FraudGPT và BruteForceAI. Những công cụ này giúp giảm đáng kể rào cản gia nhập, cho phép cả các đối tượng có kỹ năng thấp cũng có thể thực hiện những chiến dịch tấn công tinh vi.
Một trong những thay đổi đáng chú ý nhất là thời gian khai thác lỗ hổng (TTE) ngày càng ngắn. Trong năm 2025, tin tặc có thể khai thác lỗ hổng chỉ trong vòng 24 đến 48 giờ sau khi được phát hiện, thay vì mức trung bình 4,76 ngày trước đây.
Trong một số trường hợp, hoạt động khai thác diễn ra chỉ vài giờ sau khi lỗ hổng bị công khai, điển hình như React2Shell.
Sự thay đổi này đến từ việc AI được sử dụng để trinh sát mục tiêu, quét lỗ hổng tự động và triển khai các bộ công cụ khai thác được xây dựng sẵn.
Dữ liệu từ FortiGuard Labs cho thấy số vụ tấn công mã độc tống tiền đã tăng gần 389% so với cùng kỳ năm trước, từ khoảng 1.600 vụ trong năm 2024.
Thay vì phụ thuộc vào quy trình thủ công, các nhóm tấn công hiện triển khai hệ thống thông minh để xác định mục tiêu, xây dựng lộ trình tấn công và thực hiện chiến dịch gần như ngay lập tức.
Tội phạm mạng đang bị công nghiệp hóa
Fortinet mô tả tội phạm mạng hiện đại như một mô hình “công nghiệp hóa”. Các nhóm đe dọa hiện hoạt động tương tự doanh nghiệp, được hỗ trợ bởi mạng lưới dịch vụ gồm môi giới truy cập, nhà điều hành botnet và các nhà phát triển công cụ tấn công bằng AI.Nhiều chợ đen đang quảng bá công khai các công cụ như:
- HexStrike AI, hệ thống tự động hóa trinh sát và lập kế hoạch tấn công.
- BruteForceAI, công cụ thực hiện các cuộc tấn công xác thực thông minh bằng mô hình ngôn ngữ lớn.
- Các phiên bản nâng cấp của WormGPT và FraudGPT dùng cho lừa đảo và kỹ thuật xã hội.
Báo cáo cho thấy ngành sản xuất, dịch vụ kinh doanh và bán lẻ là các lĩnh vực bị nhắm mục tiêu nhiều nhất. Ngành sản xuất ghi nhận 1.284 nạn nhân mã độc tống tiền, tiếp theo là dịch vụ kinh doanh với 824 nạn nhân và bán lẻ với 682 nạn nhân.
Về địa lý, Mỹ có số nạn nhân cao nhất với 3.381 trường hợp, tiếp theo là Canada với 374 và Đức với 291. Điều này phản ánh giá trị kinh tế lớn cũng như mức độ tiếp xúc kỹ thuật số cao tại các quốc gia này.
Đánh cắp danh tính trở thành mối đe dọa lớn với đám mây
Ngoài mã độc tống tiền, lạm dụng thông tin đăng nhập tiếp tục là phương thức tấn công chủ đạo. Phần lớn sự cố an ninh đám mây trong năm 2025 liên quan đến thông tin đăng nhập bị đánh cắp hoặc rò rỉ, thay vì xuất phát từ lỗ hổng hạ tầng.Các phần mềm đánh cắp thông tin như RedLine, Lumma và Vidar tiếp tục đóng vai trò quan trọng. Những biến thể này đã gây ra hàng triệu ca lây nhiễm, thu thập dữ liệu nhạy cảm gồm thông tin đăng nhập, dữ liệu trình duyệt và mã thông báo phiên.
Đáng chú ý, tin tặc đang chuyển từ việc sử dụng danh sách tài khoản đơn thuần sang “nhật ký đánh cắp”, nơi thông tin đăng nhập được kết hợp với dữ liệu ngữ cảnh để giúp việc chiếm quyền tài khoản diễn ra nhanh và hiệu quả hơn.
Số lượng các cuộc tấn công brute-force đã giảm 22% so với năm trước. Tuy nhiên, điều này không đồng nghĩa hoạt động tấn công suy giảm. Thay vào đó, hacker đang dùng AI để lựa chọn các mục tiêu có xác suất thành công cao hơn, giúp giảm số lần thử nhưng tăng tỷ lệ xâm nhập thành công.
Dù giảm về số lượng, các cuộc tấn công brute-force trên toàn cầu vẫn đạt quy mô cực lớn với hàng tỷ lượt thử mỗi tháng.
Để đối phó với mối đe dọa ngày càng gia tăng, hợp tác quốc tế đang được đẩy mạnh. “Chiến dịch Thẻ Đỏ 2.0” của INTERPOL, với sự hỗ trợ của Fortinet, đã triệt phá nhiều hạ tầng tội phạm mạng liên quan đến lừa đảo và gian lận tài chính.
Bên cạnh đó, các sáng kiến như Bản đồ tội phạm mạng và chương trình tiền thưởng mới đang được triển khai nhằm lập bản đồ mạng lưới tội phạm mạng và thúc đẩy chia sẻ thông tin tình báo.
Khi AI tiếp tục thay đổi cả chiến thuật tấn công lẫn phòng thủ, báo cáo nhấn mạnh rằng an ninh mạng phải phát triển với tốc độ tương đương các mối đe dọa hiện đại, nếu không sẽ nhanh chóng tụt hậu trước làn sóng tấn công ngày càng tự động hóa. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-powered-ransomware/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
