Phân tích bức tranh tấn công mạng nửa đầu năm 2025: Ransomware và Vũ khí AI

Báo cáo an ninh mạng nửa đầu năm 2025 cho thấy tấn công mã hóa dữ liệu (ransomware) vẫn là mối đe dọa hàng đầu, nhưng chiến thuật tấn công đã thay đổi đáng kể.

Tội phạm mạng đang tận dụng triệt để trí tuệ nhân tạo (AI) để tự động hóa, mở rộng quy mô, và tinh vi hóa các cuộc tấn công.

Xu hướng tấn công đáng chú ý

Ransomware thống trị và nhắm mục tiêu rõ ràng: Ransomware tiếp tục là mối đe dọa lớn nhất, chuyên khai thác các lỗ hổng zero-day trong các nền tảng truyền tải dữ liệu. Ngành sản xuất, bán lẻ và viễn thông là những mục tiêu hàng đầu, cho thấy tội phạm mạng đang nhắm vào các chuỗi cung ứng và hệ thống có tính liên kết cao để tối đa hóa thiệt hại.

Chuyển dịch chiến thuật lừa đảo: Mặc dù email vẫn là kênh tấn công phổ biến, tin tặc đang chuyển hướng sang các nền tảng cộng tác như Microsoft Teams. Tỷ lệ tấn công lừa đảo (phishing) trên các ứng dụng này đã tăng vọt từ 9% lên 30.5% chỉ trong một năm. Điều này cho thấy kẻ tấn công đang tìm cách ẩn mình trong các kênh giao tiếp nội bộ, nơi người dùng thường ít cảnh giác hơn.

Sức mạnh của AI trong tấn công

Phishing tinh vi: Các công cụ AI cho phép tạo ra các email, tin nhắn lừa đảo và tài liệu giả mạo với chất lượng cao, vượt qua các bộ lọc truyền thống.

Tự động hóa tấn công: AI giúp tự động hóa việc rà quét lỗ hổng, tạo các biến thể mã độc, và lây nhiễm hệ thống, hạ thấp rào cản gia nhập cho những kẻ tấn công thiếu kinh nghiệm.

Deepfake: Kỹ thuật deepfake bằng AI đã được sử dụng để giả mạo danh tính, qua mặt các hệ thống xác thực. Đáng lo ngại, deepfake còn được dùng để giả mạo người nổi tiếng, lừa đảo đầu tư, và thậm chí là giả dạng nhân viên để truy cập hệ thống nhạy cảm của các tập đoàn lớn.

Phân tích lỗ hổng và rủi ro

Các cuộc tấn công nhắm vào các nhà cung cấp dịch vụ quản lý (MSP) cho thấy một điểm yếu nghiêm trọng trong hệ sinh thái an ninh mạng. MSP là mục tiêu hấp dẫn vì việc xâm nhập vào một MSP có thể mở ra quyền truy cập vào nhiều hệ thống khách hàng. Báo cáo cho thấy tấn công lừa đảo qua email (phishing) là nguyên nhân chính gây ra các vi phạm này, nhấn mạnh rằng yếu tố con người vẫn là điểm yếu lớn nhất.

Trong khi các cuộc tấn công sử dụng giao thức RDP (Remote Desktop Protocol) đã giảm, việc đánh cắp thông tin đăng nhập và lỗ hổng chưa được vá vẫn là những rủi ro lớn nhất. Điều này cho thấy các tổ chức cần phải ưu tiên quản lý tài khoản, áp dụng xác thực đa yếu tố (MFA) và duy trì các bản vá bảo mật kịp thời.

Khuyến nghị và chiến lược phòng thủ

Đối mặt với bức tranh mối đe dọa ngày càng phức tạp, các tổ chức không thể chỉ dựa vào một lớp bảo vệ duy nhất, cần có một chiến lược bảo mật toàn diện và chủ động:

Bảo vệ toàn diện (Defense-in-Depth): Kết hợp nhiều lớp bảo vệ, từ tường lửa, hệ thống phát hiện xâm nhập (IDS/IPS), đến các giải pháp bảo vệ email nâng cao.

Tăng cường bảo vệ dữ liệu: Sao lưu dữ liệu thường xuyên theo mô hình 3-2-1 (3 bản sao, trên 2 loại phương tiện, 1 bản lưu trữ ngoại tuyến) để đảm bảo khả năng khôi phục sau tấn công ransomware.

Đào tạo: Đầu tư vào các chương trình đào tạo nhận thức về an ninh mạng. Nhân viên cần được huấn luyện để nhận biết các dấu hiệu của tấn công lừa đảo, đặc biệt trên các nền tảng cộng tác và tin nhắn.

Quản lý lỗ hổng và tài khoản: Thường xuyên kiểm tra và vá lỗi hệ thống. Áp dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản, đặc biệt là tài khoản quản trị và tài khoản có quyền truy cập vào dữ liệu nhạy cảm.

Chuẩn bị kế hoạch ứng phó sự cố: Xây dựng và diễn tập kế hoạch ứng phó sự cố an ninh mạng để đảm bảo khả năng phản ứng nhanh chóng, giảm thiểu thiệt hại và phục hồi hệ thống trong thời gian ngắn nhất.

Trung tâm Công nghệ Thông tin và Chuyển đổi số (BHXH Việt Nam)