Xu hướng đe dọa không gian mạng trong bối cảnh chuyển đổi số

Việt Nam xếp thứ 28 toàn cầu và thứ 10 tại khu vực châu Á - Thái Bình Dương trong số các quốc gia có khách hàng bị ảnh hưởng nhiều nhất bởi hoạt động mạng. Hơn 52% các cuộc tấn công mạng có động cơ rõ ràng xuất phát từ tống tiền và mã độc tống tiền.

Tấn công mạng chủ yếu vì mục đích tài chính

Trong bối cảnh hiện nay, các mối đe dọa an ninh mạng đã trở thành một thách thức chiến lược then chốt đối với các tổ chức và xã hội. Báo cáo “An ninh kỹ thuật số 2025” mới nhất từ Microsoft cung cấp cái nhìn toàn diện về cảnh quan rủi ro này, dựa trên phân tích các xu hướng từ tháng 7/2024 - 6/2025.

Phân tích số liệu từ báo cáo cho thấy sự chuyển dịch đáng kể trong động cơ của các hoạt động tấn công, với hơn một nửa các vụ việc có mục tiêu rõ ràng tập trung vào các hình thức tống tiền và phần mềm mã hóa dữ liệu nhằm thu lợi tài chính, trong khi các hoạt động thu thập thông tin tình báo chỉ chiếm tỷ lệ nhỏ, khoảng 4%.

Sự gia tăng này phản ánh sự thống trị của các phần tử tội phạm theo đuổi lợi ích kinh tế ngắn hạn, thay vì các thực thể được hỗ trợ bởi các chính phủ, vốn từng là trọng tâm trong các phân tích trước đây.

Số liệu thống kê an ninh mạng của Microsoft.

Hàng ngày, hệ thống giám sát của Microsoft xử lý một lượng dữ liệu khổng lồ, vượt quá 100 nghìn tỷ cảnh báo, đồng thời loại bỏ khoảng 4,5 triệu biến thể phần mềm độc hại mới, đánh giá 38 triệu trường hợp rủi ro liên quan đến xác thực người dùng và sàng lọc 5 tỷ thông điệp điện tử để phát hiện các yếu tố lừa đảo hoặc độc hại.

Trong nửa đầu năm 2025, dữ liệu của Microsoft cho thấy Việt Nam xếp thứ 28 toàn cầu và thứ 10 tại khu vực châu Á - Thái Bình Dương trong số các quốc gia có khách hàng bị ảnh hưởng nhiều nhất bởi hoạt động mạng, chiếm khoảng 4,5% số khách hàng bị ảnh hưởng.

Sự phát triển của công nghệ tự động hóa, kết hợp với sự sẵn có của các công cụ thương mại hóa, đã trao quyền cho các cá nhân thiếu chuyên môn kỹ thuật để mở rộng phạm vi hoạt động bất hợp pháp.

Đặc biệt, việc tích hợp trí tuệ nhân tạo (AI) đã thúc đẩy quá trình này, cho phép các phần tử xấu tối ưu hóa việc phát triển mã độc và sản xuất nội dung giả mạo tinh vi hơn, từ đó nâng cao hiệu suất của các chiến dịch lừa đảo và mã hóa dữ liệu. Kết quả là, các mối đe dọa này không còn giới hạn ở các mục tiêu lớn mà lan tỏa rộng rãi, ảnh hưởng đến mọi khía cạnh của cuộc sống hàng ngày.

Trong môi trường số, các doanh nghiệp và tổ chức cần nâng tầm an ninh mạng lên vị thế ưu tiên quản lý cốt lõi, vượt qua khuôn khổ kỹ thuật thuần túy, để xây dựng khả năng phục hồi toàn diện từ giai đoạn thiết kế ban đầu. Nội dung báo cáo nhấn mạnh rằng, các chiến lược bảo vệ truyền thống đã trở nên lỗi thời, đòi hỏi phải áp dụng các biện pháp tiên tiến hơn, tận dụng AI để dự báo và ứng phó, đồng thời thúc đẩy sự phối hợp liên ngành giữa các bên liên quan tư nhân và công cộng.

Những mục tiêu chính bị tội phạm mạng nhắm đến

Các lĩnh vực cung cấp dịch vụ công cộng thiết yếu tiếp tục là trọng điểm của các chiến dịch tấn công, do tính chất nhạy cảm của dữ liệu và hạn chế về nguồn lực bảo vệ.

Các cơ sở y tế và cơ quan hành chính địa phương thường bị nhắm đến vì sử dụng hệ thống lỗi thời và khả năng ứng phó hạn chế, dẫn đến hậu quả trực tiếp như gián đoạn chăm sóc khẩn cấp, trì hoãn giáo dục, hoặc rối loạn hệ thống vận tải.

Các nhóm sử dụng phần mềm mã hóa dữ liệu đặc biệt ưu tiên những mục tiêu này, khai thác tình thế buộc phải khôi phục nhanh chóng để tránh thiệt hại nhân mạng, từ đó thúc đẩy việc thanh toán khoản chuộc. Hơn nữa, dữ liệu bị đánh cắp từ những tổ chức này có thể được giao dịch trên các nền tảng ngầm, hỗ trợ các hoạt động tội phạm tiếp theo.

Mặc dù các hoạt động tội phạm chiếm ưu thế về số lượng, các chiến dịch được hậu thuẫn bởi các quốc gia vẫn duy trì mức độ đe dọa cao, với sự mở rộng về phạm vi và mục tiêu, bao gồm cả gián điệp và lợi ích kinh tế. Các động cơ địa chính trị đã thúc đẩy sự gia tăng này, đặc biệt nhắm vào các lĩnh vực truyền thông, nghiên cứu học thuật và các ngành chiến lược.

Sự phức tạp càng tăng khi một số nhóm hòa quyện với hệ sinh thái tội phạm ngầm, làm mờ ranh giới giữa các loại hình đe dọa. Do đó, các tổ chức cần duy trì sự cập nhật liên tục về các rủi ro ngành nghề và hợp tác chặt chẽ với các đối tác để đối phó hiệu quả.

Sự bùng nổ ứng dụng AI đã định hình lại cả hai bên tấn công và phòng thủ. Các phần tử xấu khai thác AI để tự động hóa các chiến dịch lừa đảo, phát hiện điểm yếu nhanh chóng và tạo ra mã độc linh hoạt hơn, trong khi các nhóm được nhà nước hỗ trợ tích hợp công nghệ này vào các hoạt động ảnh hưởng kỹ thuật số.

Ngược lại, các hệ thống phòng thủ sử dụng AI để xác định rủi ro, lấp đầy khoảng trống bảo mật và bảo vệ người dùng dễ bị tấn công. Với sự phát triển song hành của cả cơ hội và thách thức từ AI, các tổ chức phải ưu tiên an ninh hóa các công cụ này và nâng cao năng lực nhân sự để duy trì lợi thế.

Tội phạm mạng không còn đột nhập mà đăng nhập vào hệ thống

Một xu hướng nổi bật là sự chuyển dịch từ các phương thức xâm nhập truyền thống sang việc khai thác thông tin xác thực, với hơn 97% các vụ việc liên quan đến tấn công mật khẩu.

Chỉ trong 6 tháng đầu năm 2025, các cuộc tấn công dựa trên xác thực đã tăng 32%, chủ yếu thông qua việc thu thập dữ liệu từ các vụ rò rỉ hoặc phần mềm chuyên thu thập thông tin. Điều này đồng nghĩa với việc phần lớn các nỗ lực đăng nhập bất hợp pháp mà tổ chức phải đối mặt đều xuất phát từ các cuộc dò đoán mật khẩu quy mô lớn.

Kẻ tấn công thu thập tên đăng nhập và mật khẩu (hay còn gọi là “thông tin đăng nhập”) cho những cuộc tấn công hàng loạt này chủ yếu từ các vụ rò rỉ thông tin đăng nhập.

Hơn 97% các vụ tấn công mạng liên quan đến chiếm đoạt mật khẩu.

Những công cụ này, như Lumma Stealer, đã bị triệt phá thành công nhờ sự phối hợp quốc tế giữa Microsoft, Bộ Tư pháp Hoa Kỳ và Europol vào tháng 5/2025.

Được viết chủ yếu bằng ngôn ngữ C và C++, với một số thành phần sử dụng ngôn ngữ lắp ráp (ASM), Lumma Stealer đã nổi lên như một trong những công cụ phổ biến nhất trong hệ sinh thái tội phạm mạng kể từ tháng 8/2022.

Nó tập trung vào việc trích xuất dữ liệu nhạy cảm từ các trình duyệt web, ví tiền điện tử, ứng dụng và tài liệu hệ thống, từ đó hỗ trợ các hoạt động lừa đảo tài chính, đánh cắp danh tính và các chiến dịch ransomware.

Theo các phân tích từ các tổ chức an ninh mạng, Lumma Stealer đã lây nhiễm hơn 394.000 thiết bị Windows trên toàn cầu chỉ trong giai đoạn từ ngày 16/3 đến 16/5/2025, nhấn mạnh mức độ lan rộng và tính kinh tế của nó trong chuỗi cung ứng tội phạm.

Sự phát triển liên tục của Lumma, với ít nhất 6 phiên bản chính được theo dõi, phản ánh khả năng thích ứng cao trước các nỗ lực triệt phá từ cơ quan thực thi pháp luật và ngành công nghiệp an ninh mạng.

Các thiết bị Windows bị ảnh hưởng bởi Lumma trên phạm vi toàn cầu (từ 16/3 - 16/5/2025).

Đối với cá nhân, việc áp dụng các biện pháp bảo mật cơ bản, chẳng hạn như xác thực đa lớp (MFA) chống lừa đảo, có thể giảm thiểu đáng kể rủi ro, với hiệu quả lên đến hơn 99% trong việc ngăn chặn các vụ việc liên quan đến đánh cắp thông tin xác thực.

Khi các mối đe dọa ngày càng dai dẳng và thích ứng hơn, các tổ chức phải duy trì sự cảnh giác cao độ, cập nhật hệ thống bảo vệ và trao đổi thông tin tình báo. An ninh mạng không chỉ là vấn đề kỹ thuật mà còn là yếu tố quản trị thiết yếu.

Để chống lại các nhóm được hậu thuẫn bởi quốc gia, cần các khung quy định quốc tế rõ ràng, kèm theo các biện pháp trừng phạt nghiêm minh. Sự gia tăng các hành động công khai quy trách nhiệm từ nhiều quốc gia là tín hiệu tích cực, góp phần xây dựng hệ thống phòng thủ tập thể./.