Năm tàn khốc của mã độc tống tiền

Thống kê tới thời điểm này, cá nhân và các tổ chức kinh tế thường dính 7 loại mã độc phổ biến và nguy hiểm, đáng sợ nhất là ransomware.

Theo Chainalysis (Công ty dữ liệu blockchain trụ sở tại Mỹ, chuyên cung cấp phần mềm, dữ liệu và dịch vụ điều tra cho chính phủ, sàn giao dịch và tổ chức tài chính), khi nhắm vào các doanh nghiệp, tội phạm mạng thường sử dụng ransomware một cách tinh vi với mức độ tàn phá cao hơn nhiều so với tấn công cá nhân.

Ransomware được chia nhỏ thành 2 loại gồm: mã hóa dữ liệu, tức ngay khi xâm nhập vào hệ thống, nó sẽ âm thầm mã hóa toàn bộ các file quan trọng (tài liệu, cơ sở dữ liệu khách hàng, file thiết kế, mã nguồn...). Các file này sẽ bị đổi đuôi và không thể mở được nếu không có khóa giải mã. Mục tiêu chính của loại mã này là máy chủ dữ liệu, hệ thống lưu trữ đám mây, máy trạm của nhân viên kế toán, nhân sự.

Thứ hai là loại mã khóa hệ thống (Locker ransomware), tức thay vì mã hóa từng file, loại này khóa hoàn toàn quyền truy cập của người dùng vào thiết bị hoặc toàn bộ hệ thống mạng. Mục tiêu chính của loại mã độc này nhắm tới các thiết bị đầu cuối, máy trạm hoặc hệ thống điều khiển công nghiệp.

Doanh nghiệp thường bị tấn công qua 3 con đường chính gồm: email lừa đảo; lỗ hổng bảo mật; giao thức điều khiển từ xa. Cái đích cuối cùng của ransomware là tống tiền các tổ chức kinh tế.

Chainalysis xem năm 2025 là “năm tàn khốc” về quy mô và tác động toàn cầu của ransomware. Năm 2026 này, sự tàn khốc không những chưa dừng lại, mà còn tinh vi hơn.

Thống kê trên thế giới, năm 2025, số nạn nhân bị tấn công bằng mã độc tống tiền tăng 50% so với năm trước. Đặc biệt, tổng số tiền chuộc bằng mã độc tống tiền năm 2025 tới 820 triệu USD.

Các doanh nghiệp lĩnh vực sản xuất và tài chính/dịch vụ chuyên nghiệp ở hầu hết quốc gia đều bị ảnh hưởng nặng nề, trong đó Canada, Anh, Đức có tỷ lệ bị ảnh hưởng đặc biệt cao trong chuỗi cung ứng, hậu cần và hạ tầng trọng yếu. Điển hình là cuộc tấn công vào hãng xe Jaguar Land Rover, gây thiệt hại ít nhất 2,55 tỷ USD cho nền kinh tế Anh, trở thành “sự cố mạng gây thiệt hại kinh tế nghiêm trọng nhất” trong lịch sử nước này.

Tương tự, nhà bán lẻ đa quốc gia lớn của Anh là Marks & Spencer đã phải vật lộn với sự gián đoạn kéo dài sau một vụ xâm phạm dữ liệu.

Các nhà cung cấp dịch vụ chăm sóc sức khỏe cũng là mục tiêu béo bở. Điển hình, tội phạm đã tấn công bằng mã độc vào Công ty lọc thận DaVita Inc (Mỹ) - vụ tống tiền nghiêm trọng nhất trong lĩnh vực chăm sóc sức khỏe, dẫn đến việc lộ gần 2,7 triệu hồ sơ bệnh nhân và thiệt hại đáng kể với khoảng 1,5 TB dữ liệu lâm sàng của doanh nghiệp.

Đáng chú ý là, năm qua, trên toàn cầu có tới 60% doanh nghiệp vừa và nhỏ sau khi bị tấn công ransomware đã phải ngừng hoạt động trong vòng 6 tháng.

Đáng nói hơn, Chainalysis cho hay, có 2 xu hướng tống tiền nguy hiểm nhất hiện nay.

Đầu tiên là loại “tống tiền kép”: trước khi mã hóa dữ liệu, tội phạm sẽ bí mật đánh cắp một lượng lớn thông tin nhạy cảm của doanh nghiệp (bí mật kinh doanh, dữ liệu tài chính, thông tin khách hàng). Nếu doanh nghiệp khôi phục hệ thống mà không trả tiền chuộc, tội phạm sẽ đe dọa tung dữ liệu này lên các trang web hoặc bán cho đối thủ cạnh tranh.

Tiếp đến là thủ đoạn “tống tiền ba”: ngoài việc mã hóa và đe dọa rò rỉ dữ liệu, tin tặc sẽ tiến hành thêm một bước thứ ba là liên hệ trực tiếp với khách hàng, đối tác của doanh nghiệp đó để đe dọa, hoặc bán, tung đòn tấn công từ chối dịch vụ đánh sập trang web của doanh nghiệp để gia tăng áp lực tống tiền.

“Tội phạm mạng đã trở nên hung hăng hơn trong các cuộc đàm phán tống tiền, bao gồm cả việc liên hệ với nhân viên và thậm chí cả khách hàng của các tổ chức bị hại. Các nhóm khác thì tập trung vào việc đánh cắp dữ liệu và thậm chí phân tích dữ liệu bị đánh cắp để xác định giá trị và dùng chúng đe dọa tổ chức kinh tế về hậu quả của việc lộ dữ liệu”, các chuyên gia Chainalysis cho biết.

100% doanh nghiệp Việt có mã độc “nằm vùng”

Tại Việt Nam, ransomware bùng lên từ năm 2015, khi Kaspersky Lab nhận được nhiều yêu cầu hỗ trợ từ người dùng Việt Nam liên quan đến việc dữ liệu trong máy tính bị lây nhiễm mã độc mã hóa tập tin.

Tới nay, qua giám sát hơn 10.000 máy chủ và 30.000 máy trạm trên toàn cầu, trong báo cáo mới đây, Công ty An ninh mạng Việt Nam VSEC (thành viên Tập đoàn công nghệ G-Group) công bố, 100% doanh nghiệp Việt khi được kiểm tra đều phát hiện mã độc đang "nằm vùng" trong hệ thống. Chỉ riêng nửa năm 2025, tấn công ransomware đã gây thiệt hại hơn 250 tỷ đồng.

Còn theo thống kê của Hiệp hội An ninh mạng quốc gia (NCA) thì năm 2025 có tới 52% tổ chức tại Việt Nam đã chịu tổn thất do tấn công mạng. Con số thực tế có thể cao hơn nhiều do tâm lý lo ngại trách nhiệm khiến bộ phận IT thường che giấu sự cố.

Tại hội thảo “Bảo hiểm an ninh mạng và khả năng chống chịu trong kỷ nguyên AI”, do NCA tổ chức mới đây, các chuyên gia đã công bố thực tế đáng sợ: thời gian để tin tặc nằm vùng và thu thập thông tin của doanh nghiệp đã rút ngắn từ trung bình 386 ngày xuống chỉ còn vài giờ đồng hồ.

Dây chuyền sản xuất, kinh doanh mã độc

Tấn công bằng mã độc tống tiền không xảy ra riêng lẻ mà được hỗ trợ bởi một chuỗi cung ứng tội phạm mạng rộng lớn hơn, với sự phân công lao động rõ ràng.

Chuỗi cung ứng này thường được gọi là Ransomware-as-a-Service (mã độc tống tiền dưới dạng dịch vụ) gồm: Nhóm phát triển, là những kỹ sư trình độ IT cao chuyên viết mã nguồn mã độc, xây dựng bảng điều khiển để quản lý nạn nhân và hệ thống thanh toán tiền chuộc tự động.

Tiếp đến là Nhóm môi giới quyền truy cập ban đầu (IAB), tức loại tội phạm mạng chuyên đi "dò đường", tìm lỗ hổng, đánh cắp tài khoản hoặc cài đặt backdoor vào hệ thống, sau đó bán quyền truy cập này cho các nhóm thực thi.

Nhóm thực thi sau khi mua quyền truy cập trên sẽ trực tiếp thực hiện các bước thâm nhập, xóa bản sao lưu và để lại thông báo đòi tiền chuộc.

Tiếp theo là nhiệm vụ của Nhóm đàm phán và rửa tiền. Đây là những “chuyên gia” tâm lý, chuyên chat với nạn nhân để ép giá tiền chuộc, sau đó chuyển cho mạng lưới rửa tiền.

Theo Chainalysis, quy mô của hệ sinh thái này đang tăng lên theo thời gian. Chỉ riêng với Nhóm IAB năm 2025 đã “ẵm” được ít nhất 14 triệu USD.

Tổng số tiền chuộc bằng mã độc tống tiền năm 2025 khoảng 820 triệu USD, gấp 58 lần giá trị chảy vào IAB, cho thấy lợi nhuận “khủng” trong phân khúc này của chuỗi cung ứng tội phạm mạng.

(Còn tiếp)