Bối cảnh mã độc ransomware đã bước vào một giai đoạn mới trong năm 2025. Từ một mô hình kinh doanh tội phạm hiệu quả dựa trên việc mã hóa tệp nạn nhân và thu tiền chuộc, hiện tại nó đang chịu áp lực tài chính đáng kể.
Tỷ lệ thanh toán tiền chuộc đã chạm mức thấp lịch sử, yêu cầu trung bình đã giảm mạnh và các tổ chức đang phục hồi sau các cuộc tấn công hiệu quả hơn so với những năm gần đây. Mặc dù vậy, các tác nhân đe dọa không hề rút lui. Thay vào đó, chúng đang thích nghi các phương pháp để khiến hoạt động của mình khó bị phá vỡ và chiến lược tống tiền trở nên khó chống lại hơn.
Diễn biến Tài chính của Mã độc Ransomware
Sự sụt giảm về tài chính của các nhóm mã độc ransomware là điều không thể bỏ qua. Theo báo cáo của CoveWare, trong quý 4 năm 2025, tỷ lệ thanh toán tiền chuộc đã đạt mức thấp kỷ lục.
Sophos báo cáo riêng rằng yêu cầu tiền chuộc trung bình đã giảm một phần ba, từ 2 triệu USD vào năm 2024 xuống còn 1,34 triệu USD vào năm 2025.
Gần một nửa số nạn nhân mã độc ransomware có khả năng khôi phục từ bản sao lưu vào năm 2024, so với chỉ 11% vào năm 2022. Khả năng phục hồi ngày càng tăng này đã trực tiếp làm suy yếu đòn bẩy mà các nhà điều hành ransomware phụ thuộc vào để thu tiền.
REDBIKE và Sự Thay Đổi trong Hệ Sinh Thái Ransomware
Các nhà phân tích của Google Cloud từ Google Threat Intelligence Group (GTIG), dẫn đầu bởi các nhà nghiên cứu Bavi Sadayappan, Zach Riddle, Ioana Teaca, Kimberly Goody, và Genevieve Stark, đã xác định những mô hình phát triển này thông qua các cuộc điều tra ứng phó sự cố của Mandiant được thực hiện tại các tổ chức trên khắp Châu Á Thái Bình Dương, Châu Âu, Bắc Mỹ, và Nam Mỹ trong suốt năm 2025.
Phân tích của các chuyên gia Google Cloud đã xác định REDBIKE là họ mã độc ransomware phổ biến nhất, chiếm gần 30% tổng số sự cố được quan sát. Đây là một mức cao mới, vượt qua các đỉnh trước đó của cả LOCKBIT và ALPHV, vốn mỗi loại đạt 17% vào năm 2023. Xem thêm phân tích chi tiết về các kỹ thuật của ransomware tại Google Cloud Blog.
Hệ sinh thái ransomware cũng trải qua sự gián đoạn lớn trong năm 2025. Các hoạt động Ransomware-as-a-Service (RaaS) nổi bật như LockBit, ALPHV, Basta và RansomHub đã bị suy yếu đáng kể hoặc bị phá hủy thông qua áp lực của cơ quan thực thi pháp luật và xung đột nội bộ.
Tuy nhiên, Qilin và Akira đã nhanh chóng lấp đầy khoảng trống, và tổng số bài đăng nạn nhân trên các trang rò rỉ dữ liệu đã vượt qua con số năm 2024 gần 50%.
Sự Chuyển Dịch Mục Tiêu và Chiến thuật Đánh cắp Dữ liệu
Các tác nhân đe dọa đã bắt đầu nhắm mục tiêu vào các tổ chức nhỏ hơn một cách mạnh mẽ hơn, chuyển hướng khỏi các doanh nghiệp lớn với khả năng phòng thủ trưởng thành để tập trung vào các doanh nghiệp có chương trình bảo mật kém mạnh mẽ hơn.
GTIG cảnh báo rằng lợi nhuận từ tiền chuộc giảm có thể đẩy một số tác nhân hướng tới các chiến lược thu nhập thay thế, chẳng hạn như chạy các chiến dịch lừa đảo (phishing) thông qua cơ sở hạ tầng bị xâm nhập hoặc kiếm tiền từ việc truy cập vào môi trường nạn nhân theo những cách thứ cấp.
Một trong những thay đổi nổi bật nhất được ghi nhận trong các cuộc điều tra sự cố năm 2025 là sự gia tăng đáng kể của việc rò rỉ dữ liệu (data exfiltration) như một đòn bẩy tống tiền chính.
GTIG đã quan sát thấy việc đánh cắp dữ liệu được xác nhận hoặc nghi ngờ trong khoảng 77% các vụ xâm nhập ransomware — một bước nhảy vọt đáng kể so với 57% của năm trước.
Những kẻ tấn công giờ đây thường xuyên đánh cắp các tệp nhạy cảm trước khi triển khai mã hóa, đe dọa công khai dữ liệu bị đánh cắp trên các trang rò rỉ ngay cả khi nạn nhân có thể khôi phục hệ thống của họ từ bản sao lưu.
Công cụ và Kỹ thuật Đánh cắp Dữ liệu Được Sử dụng
Để di chuyển dữ liệu ra khỏi môi trường bị xâm nhập, các tác nhân đe dọa đã dựa vào sự kết hợp các công cụ quen thuộc và có sẵn rộng rãi. Rclone xuất hiện trong khoảng 28% các sự cố đánh cắp dữ liệu để chuyển tệp sang cơ sở hạ tầng do kẻ tấn công kiểm soát.
Cả Rclone và WinRAR đều được quan sát thấy trong khoảng 23% tổng số sự cố năm 2025, một sự gia tăng đáng chú ý so với năm 2024. Các công cụ như FileZilla, WinSCP, và các nền tảng đám mây bao gồm MEGA, OneDrive, và Azure cũng được sử dụng làm đích đến để rút trích dữ liệu.
Những kẻ tấn công đặc biệt nhắm mục tiêu vào các tài liệu pháp lý, hồ sơ nhân sự, dữ liệu kế toán và các tệp phát triển kinh doanh — nội dung được chọn để tối đa hóa đòn bẩy trong các cuộc đàm phán tống tiền. Điều này tạo ra một mối đe dọa mạng nghiêm trọng cho các tổ chức.
Chiến lược Phòng chống và Ứng phó
Các tổ chức được khuyến nghị tuân thủ hướng dẫn từ tài liệu white paper về Chiến lược Bảo vệ và Ngăn chặn Ransomware, trong đó vạch ra các bước thực tế để tăng cường bảo mật điểm cuối (endpoint hardening), ngăn chặn và sẵn sàng phục hồi.
Việc triển khai các biện pháp kiểm soát ngăn chặn mất dữ liệu (DLP) mạnh mẽ là cần thiết. Tổ chức nên giám sát lưu lượng truy cập đi (outbound traffic) để phát hiện các hoạt động chuyển tệp bất thường hoặc dung lượng lớn.
Hạn chế sử dụng các công cụ không được phê duyệt như Rclone và AzCopy cũng là một biện pháp quan trọng. Để biết thêm về giám sát mạng, tham khảo hướng dẫn của CISA tại CISA.gov.
Duy trì nhật ký chi tiết về quyền truy cập lưu trữ đám mây và khả năng hiển thị hoạt động điểm cuối có thể cung cấp cảnh báo sớm về các nỗ lực rút trích dữ liệu trước khi dữ liệu nhạy cảm thực sự đến cơ sở hạ tầng do kẻ tấn công kiểm soát.
