AI tiếp tay, ransomware càn quét châu Âu

Các tổ chức, doanh nghiệp tại châu Âu đang phải đối mặt với làn sóng tấn công ransomware (mã độc tống tiền) chưa từng có, khi tin tặc tận dụng công cụ trí tuệ nhân tạo (AI) để tự động hóa và tinh vi hóa chiến thuật, gây thiệt hại nặng cho các ngành công nghiệp trọng yếu.

Làn sóng tấn công ransomware tăng mạnh trên khắp châu Âu

Từ đầu năm 2024, các nhóm tin tặc chuyên săn “con mồi lớn” đã công bố khoảng 2.100 nạn nhân có trụ sở tại châu Âu trên hơn 100 trang web chuyên tiết lộ dữ liệu bị đánh cắp, tăng 13% so với cùng kỳ năm trước.

Hiện khu vực này chiếm gần 22% tổng số nạn nhân ransomware toàn cầu, trở thành mục tiêu bị nhắm đến nhiều thứ hai chỉ sau Bắc Mỹ.

Châu Âu trở thành điểm nóng của các cuộc tấn công ransomware.

Anh, Đức, Ý, Pháp và Tây Ban Nha là những quốc gia chịu ảnh hưởng nặng nề nhất. Các lĩnh vực sản xuất, dịch vụ chuyên nghiệp và công nghệ ghi nhận thiệt hại đặc biệt lớn do các cuộc tấn công mã độc tống tiền.

Nhiều chuyên gia cho rằng, châu Âu trở thành “điểm nóng” của ransomware vì sở hữu những yếu tố hấp dẫn đối với tội phạm mạng. Một trong số đó là việc các nhóm tấn công đã “vũ khí hóa” Quy định bảo vệ dữ liệu chung của EU (GDPR), dọa tố cáo nạn nhân vi phạm quy định bảo mật nếu không chịu trả tiền chuộc.

Động cơ tài chính vẫn là yếu tố chính, khi châu Âu là nơi đặt trụ sở của 5 trong số 10 doanh nghiệp giá trị nhất thế giới. Điều này cho phép tin tặc yêu cầu các khoản tiền chuộc khổng lồ, dựa trên quy mô doanh thu của tổ chức bị tấn công.

Ngoài ra, một số nhóm tin tặc còn mang động cơ chính trị, liên kết với các lực lượng có yếu tố địa chính trị hoặc nhóm tấn công lai (hybrid threat actors) nhằm chia sẻ lợi ích và thông tin.

Chiêu thức tinh vi, nhắm vào hạ tầng ảo hóa

Theo báo cáo của CrowdStrike - Công ty công nghệ an ninh mạng của Mỹ, các nhóm tấn công đang sử dụng chiến thuật ngày càng tinh vi để tối đa hóa mức độ thiệt hại. Trong giai đoạn từ tháng 1/2024 đến tháng 9/2025, tin tặc đã khai thác các cơ sở dữ liệu cấu hình sao lưu và khôi phục - nơi thường chứa thông tin truy cập hạ tầng ảo hóa.

Các cuộc tấn công thường được phát động từ những hệ thống không được quản lý, thiếu phần mềm giám sát điểm cuối (EDR), giúp tin tặc mã hóa dữ liệu từ xa mà không bị phát hiện.

Đáng lo ngại hơn, một xu hướng mới đang nổi lên: ransomware trên nền Linux tấn công trực tiếp vào hạ tầng VMware ESXi, cho phép tin tặc chiếm quyền kiểm soát toàn bộ môi trường ảo hóa cùng lúc - một đòn đánh có thể làm tê liệt cả hệ thống doanh nghiệp.

Dù các cơ quan thực thi pháp luật đã tăng cường truy quét, hệ sinh thái ngầm hỗ trợ ransomware vẫn cho thấy sức sống bền bỉ. Nhiều diễn đàn như Exploit hay XSS đóng vai trò như là “chợ đen” cho giới tội phạm mạng, nơi giao dịch các dịch vụ như môi giới truy cập ban đầu, cung cấp phần mềm độc hại dạng thuê bao (malware-as-a-service) hay thậm chí là “bạo lực theo yêu cầu”. Song song đó, các nền tảng như BreachForums lại cung cấp thị trường dễ tiếp cận hơn, cho phép tin tặc trao đổi dữ liệu đăng nhập bị đánh cắp, công cụ và thông tin tình báo.

Những diễn đàn này hoạt động như một “nền kinh tế tội phạm chuyên nghiệp”, sử dụng cơ chế ký quỹ và hệ thống đánh giá uy tín để xây dựng lòng tin, từ đó hạ thấp rào cản gia nhập cho những kẻ tấn công mới nổi.

AI - “trợ thủ” đắc lực của tin tặc

Sự kết hợp giữa ransomware và AI đang làm thay đổi căn bản cách tin tặc tiến hành chiến dịch tấn công tại châu Âu. Nhờ vào các mô hình ngôn ngữ lớn (LLM), tội phạm mạng có thể tạo ra nội dung lừa đảo (phishing) thuyết phục hơn, đồng thời viết mã độc biến thể (polymorphic code) có khả năng né tránh hệ thống phát hiện chữ ký truyền thống.

AI trở thành công cụ giúp các cuộc tấn công trở nên khó lường hơn.

CrowdStrike ghi nhận nhiều chiến dịch trong đó tin tặc dùng công cụ AI để tự động hóa quá trình do thám, quét hàng nghìn mục tiêu tiềm năng và phát hiện hệ thống có lỗ hổng với tốc độ chưa từng có. Không chỉ dừng ở kỹ thuật, AI còn được tận dụng trong tấn công xã hội.

Một số nhóm sử dụng công nghệ tổng hợp giọng nói để tiến hành các cuộc gọi lừa đảo (vishing), giả mạo nhân viên bộ phận hỗ trợ khách hàng nhằm đánh cắp thông tin xác thực.

Theo thống kê, gần 1.000 vụ việc liên quan đến vishing đã được ghi nhận trên toàn cầu trong giai đoạn báo cáo. Dù phần lớn diễn ra ở Bắc Mỹ, các chuyên gia cảnh báo xu hướng này sẽ sớm lan rộng sang châu Âu, khi tin tặc tuyển dụng người bản ngữ để tăng độ tin cậy trong giao tiếp.

Những nhóm tinh vi như SCATTERED SPIDER đã chứng minh hiệu quả của chiến thuật AI hỗ trợ. Trung bình trong năm 2024, chúng chỉ mất 35,5 giờ từ lúc xâm nhập ban đầu đến khi triển khai ransomware, thậm chí có vụ việc giữa năm 2025 chỉ mất khoảng 24 giờ.

Chiến dịch vào tháng 4/2025 nhắm vào các doanh nghiệp bán lẻ tại Anh cho thấy mức độ tiến hóa của phương thức tấn công, bao gồm cả nỗ lực tuyển người nội bộ để hỗ trợ xâm nhập Wi-Fi tại chỗ - một dấu hiệu rõ ràng cho thấy ranh giới giữa tấn công mạng và xâm nhập vật lý ngày càng mờ nhạt.

Làn sóng ransomware tại châu Âu đang đạt mức báo động, khi AI trở thành “vũ khí” giúp tội phạm mạng tăng tốc và mở rộng quy mô tấn công. Trong bối cảnh này, các tổ chức không chỉ cần đầu tư vào bảo mật kỹ thuật mà còn phải nâng cao năng lực phòng thủ con người - yếu tố vẫn là mắt xích yếu nhất trước các chiến thuật tấn công tinh vi do AI hỗ trợ./.