Dữ liệu phân tích mới nhất cho thấy sự gia tăng đáng kể của các loại hình mối đe dọa mạng trong nửa đầu năm 2025, đặc biệt là các cuộc tấn công mạng từ chối dịch vụ (DDoS) và hoạt động của bot độc hại. Theo dõi của Radware ghi nhận mức tăng 39% trong các cuộc tấn công Web DDoS so với nửa cuối năm 2024, đạt mức tăng kỷ lục 54% theo quý trong Quý 2. Điều này chỉ ra sự leo thang kịch tính của các mối đe dọa mạng trong sáu tháng đầu năm 2025.
Web DDoS và Sự Gia Tăng Đáng Báo Động
Sự leo thang này phản ánh một sự chuyển đổi chiến lược của các tác nhân đe dọa. Chúng hướng tới các cuộc tấn công nhỏ hơn nhưng bền vững, dưới 100.000 yêu cầu mỗi giây (RPS).
Kẻ tấn công đang tận dụng các công cụ tự động hóa, được tăng cường bởi trí tuệ nhân tạo (AI) tạo sinh. Điều này dân chủ hóa khả năng thực hiện tấn công mạng DDoS cho các đối thủ mới nổi và những nhóm ít phối hợp hơn. Mặc dù quy mô tấn công trung bình giảm, các sự cố đỉnh điểm vẫn đạt 10 triệu RPS trong Quý 1 và 6.2 triệu RPS trong Quý 2, cho thấy sự dai dẳng của các mối đe dọa mạng khối lượng lớn đối với những tác nhân tinh vi.
Tác động khu vực và các đỉnh điểm tấn công
Về mặt khu vực, khu vực Châu Âu, Trung Đông và Châu Phi (EMEA) chịu đựng hơn một nửa số cuộc tấn công Web DDoS này. Châu Á-Thái Bình Dương (APAC) cũng trải qua mức độ phơi nhiễm tăng cao, trong khi Bắc Mỹ có sự sụt giảm tương đối. Những phân bố này cho thấy các khu vực địa lý khác nhau đối mặt với các mức độ rủi ro tấn công mạng không đồng đều.
Sự Phục Hồi của Tấn Công Lớp Mạng (L3/L4 DDoS)
Song song với Web DDoS, các cuộc tấn công mạng DDoS lớp mạng (L3/L4) cũng đã phục hồi mạnh mẽ. Chúng tăng 85.5% so với nửa cuối năm 2024 và 50.3% so với nửa đầu năm 2024. Số lượng giảm thiểu tấn công trung bình trên mỗi khách hàng Radware đã tăng lên 7.281 sự kiện mỗi quý trong Quý 2, tăng 485% kể từ Quý 1 năm 2022. Điều này nhấn mạnh sự cần thiết của các biện pháp phòng thủ chủ động trước các mối đe dọa mạng cấp độ thấp hơn.
Phân phối và Phương thức tấn công
Bắc Mỹ phải đối mặt với gần 46% hoạt động này. Các cuộc tấn công chủ yếu là lũ lụt dựa trên UDP và các vector khuếch đại như DNS và NTP, chiếm 89.2% tổng khối lượng. Sự đa dạng trong các phương thức tấn công cho thấy kẻ xấu liên tục tìm kiếm các lỗ hổng mới để thực hiện tấn công mạng.
Khai thác giao thức SIP
Đặc biệt, việc nhắm mục tiêu vào giao thức SIP đã nổi lên như một lỗ hổng nghiêm trọng đối với các hạ tầng VoIP và truyền thông. Giao thức này đứng thứ ba trong số các giao thức bị khai thác, chỉ sau HTTPS và DNS. Việc này cho thấy sự mở rộng của các vector mối đe dọa mạng sang các dịch vụ liên lạc thiết yếu.
Vai trò của Hacktivism trong bối cảnh Mối đe dọa mạng
Các hoạt động của hacktivist đã khuếch đại bối cảnh mối đe dọa mạng. Có tới 9.172 tuyên bố DDoS duy nhất trên Telegram, tăng 62% so với H1 2024. Điều này được thúc đẩy bởi việc đăng lại phối hợp trên hơn 650 kênh.
Hoạt động trên Telegram và sự phối hợp
Riêng Quý 2 đã chứng kiến 5.011 tuyên bố, cho thấy các hệ sinh thái đã trưởng thành. Chúng đang thúc đẩy các gián đoạn về ý thức hệ và địa chính trị. Theo báo cáo từ Radware, Châu Âu đứng đầu các mục tiêu khu vực với 45%, tiếp theo là Châu Á (19%) và Trung Đông (17%). Israel, Hoa Kỳ và Ukraine là các quốc gia bị ảnh hưởng thường xuyên nhất với lần lượt 13.5%, 12% và 8.6% các tuyên bố tấn công. Tham khảo chi tiết tại: Radware H1 2025 Global Threat Analysis.
Các nhóm tấn công chủ chốt và mục tiêu
Các nhóm hoạt động mạnh mẽ như NoName057(16) chiếm 39% các tuyên bố, tiếp theo là Keymous+ và Mr. Hamza. Các nhóm này chủ yếu tập trung vào các lĩnh vực chính phủ (39%), cùng với sản xuất, tài chính và giáo dục. Sự gia tăng này minh họa sự kết hợp giữa hoạt động tích cực (activism) và các chiến thuật DDoS tiên tiến, thường được công khai thông qua các liên kết check-host có thể xác minh để khuếch đại khả năng hiển thị và tác động của các cuộc tấn công mạng.
Tấn công Lớp Ứng Dụng và Hoạt động Bot độc hại
Các cuộc tấn công lớp ứng dụng đã củng cố sự thống trị của chúng. Radware’s Cloud Web Application Firewall (WAF) đã phát hiện mức tăng 33% trong các giao dịch độc hại so với H2 2024. Điều này tương đương với 87% tổng khối lượng của năm 2024 chỉ trong sáu tháng đầu năm. Sự gia tăng này cho thấy sự phức tạp ngày càng tăng của các mối đe dọa mạng ở cấp độ ứng dụng.
Kỹ thuật khai thác lỗ hổng và truy cập trái phép
Khai thác lỗ hổng dẫn đầu với hơn một phần ba các sự cố. Trong khi đó, các vi phạm truy cập thông qua các kỹ thuật khám phá tài nguyên brute-force đã tăng lên 11.3%, phơi bày các tài sản ẩn như tệp cấu hình. Tấn công SQL injection giảm xuống còn 1.47%, cho thấy sự chuyển dịch của các tác nhân đe dọa sang các phương pháp tàng hình hơn, giữa bối cảnh mức tăng 150% so với cùng kỳ năm trước từ H1 2024. Để bảo vệ khỏi các mối đe dọa mạng như vậy, việc áp dụng các bản vá bảo mật và cập nhật hệ thống là vô cùng quan trọng.
Sự bùng nổ của Botnet tăng cường AI
Song song với đó, hoạt động của bot độc hại đã bùng nổ 57% so với H2 2024. Mức này gần bằng 90% tổng số của năm 2024 chỉ trong nửa đầu năm. Hoạt động này được thúc đẩy bởi các botnet tăng cường AI, cho phép gian lận, tấn công nhồi thông tin đăng nhập (credential stuffing), trích xuất dữ liệu (scraping) và thông tin sai lệch. Bắc Mỹ phải đối mặt với 33.8% các mối đe dọa này, trong khi APAC là 27.2% và EMEA là 24.2%, cho thấy những thách thức trong việc bảo vệ chống lại các cuộc xâm nhập tự động và dai dẳng. Việc này càng làm tăng thêm độ phức tạp của các mối đe dọa mạng hiện nay.
Chiến lược phòng thủ và An ninh mạng hiệu quả
Sự hội tụ của các xu hướng này – sự tinh chỉnh DDoS dựa trên AI, sự khuếch đại của hacktivist và sự bình thường hóa của tấn công lớp ứng dụng – làm mờ ranh giới giữa tội phạm mạng và chiến tranh mạng. Điều này đòi hỏi các nhà phòng thủ phải áp dụng các chiến lược đa lớp để đối phó với các mối đe dọa mạng phức tạp và đa dạng.
Biện pháp giảm thiểu và tăng cường bảo mật
Các biện pháp này bao gồm giảm thiểu theo thời gian thực, tăng cường bảo mật Web Application Firewall (WAF hardening), các biện pháp chống bot và tự động hóa dựa trên thông tin tình báo để chống lại các tác nhân đe dọa linh hoạt. Việc liên tục theo dõi và nâng cấp các giải pháp an ninh mạng là điều tối quan trọng để chống lại các mối đe dọa mạng ngày càng tinh vi và đảm bảo an ninh mạng toàn diện cho tổ chức.
