Tháng 6 năm 2025 chứng kiến một sự leo thang đáng báo động trong bối cảnh các mối đe dọa mạng, trong đó nhóm Qilin nổi lên như tác nhân chủ đạo trong hệ sinh thái ransomware. Theo báo cáo xu hướng mới nhất từ Deep Web và Dark Web, Qilin đã vượt qua tất cả các tập đoàn ransomware khác, nhắm mục tiêu vào một phổ rộng các thực thể giá trị cao thuộc các lĩnh vực chính phủ, y tế, sản xuất và năng lượng.
Sự Thống Trị của Qilin Ransomware
Tầm ảnh hưởng và Mục tiêu
Các chiến lược tấn công tinh vi của Qilin, được củng cố bởi sự hợp nhất của các thành viên trước đây của RansomHub, đã cho phép chúng thực hiện một chiến dịch không ngừng chống lại cơ sở hạ tầng trọng yếu trên toàn thế giới. Các nạn nhân đáng chú ý bao gồm một thành phố tự trị của Tây Ban Nha, một tổ chức y tế có trụ sở tại Hoa Kỳ và các tập đoàn đa quốc gia trải dài tại Hoa Kỳ, Vương quốc Anh, Nhật Bản và Singapore. Việc nhắm mục tiêu bừa bãi này, bao gồm cả các nhà sản xuất phụ tùng ô tô và nhà cung cấp thiết bị mỏ dầu, nhấn mạnh khả năng phát triển và các mô hình tấn công toàn diện của Qilin. Điều này phản ánh sự dịch chuyển từ động cơ tài chính thuần túy sang mục tiêu gây gián đoạn chiến lược, theo báo cáo của ASEC.
Chiến lược Tấn công Nâng cao
Việc Qilin tích hợp các chi nhánh cũ của RansomHub đã nâng cao đáng kể năng lực tấn công của chúng. Sự hợp tác này đã cung cấp cho Qilin các chiến thuật và nguồn lực mới, bao gồm cả việc khai thác các lỗ hổng như WebDAV và SCF để đánh cắp thông tin xác thực, như được mô tả trong một báo cáo liên quan đến việc khai thác các lỗ hổng này để trộm cắp thông tin xác thực.
Sự Nổi Lên của Các Nhóm Ransomware Mới
Bên cạnh sự thống trị của Qilin, bối cảnh ransomware cũng chứng kiến sự nổi lên nhanh chóng của các nhóm mới như Team XXX, Warlock, Global, W.A. và Kawa4096. Các nhóm này đã định hình lại thị trường Ransomware-as-a-Service (RaaS) bằng cách hấp thụ công nghệ và nhân lực từ các hoạt động đã giải thể, cho thấy một sự thay đổi linh hoạt và khả năng tái cơ cấu trong thế giới tội phạm mạng.
Hoạt Động của Các Nhóm Ransomware Đã Thành Lập
Akira và Lynx
Trong khi các nhóm mới xuất hiện, các tác nhân đã thành lập như Akira và Lynx đã tăng cường tập trung vào các ngành công nghiệp quan trọng trong chuỗi cung ứng như sản xuất và năng lượng. Akira đã tấn công các công ty lớn ở Nhật Bản, Hoa Kỳ và Đức. Trong khi đó, Lynx nhắm mục tiêu vào các lĩnh vực truyền thông và hóa dầu ở Hoa Kỳ và Thái Lan, cho thấy sự chuyên môn hóa ngày càng tăng trong việc lựa chọn mục tiêu để tối đa hóa tác động.
Gunra, RHYSIDA, Anubis và Arkana
Các nhóm khác như Gunra và RHYSIDA đã mở rộng phạm vi tiếp cận sang các cơ quan chính phủ và tổ chức phi lợi nhuận ở các khu vực bao gồm Colombia, UAE và Đức. Song song, Anubis và Arkana tập trung vào các thương hiệu toàn cầu giá trị cao trong lĩnh vực giải trí, với mục tiêu tối đa hóa cả đòn bẩy tiền chuộc và thiệt hại danh tiếng. Sự đa dạng trong lựa chọn mục tiêu này phản ánh chiến lược tìm kiếm lợi nhuận và tác động xã hội trên nhiều mặt trận khác nhau.
Động Cơ Địa Chính Trị và Sự Kết Hợp Tấn Công Mới
Một diễn biến đặc biệt đáng báo động là cuộc tấn công ransomware của APTiran, một tác nhân đe dọa được biết đến với các hoạt động chống Iran, vào cơ sở hạ tầng trọng yếu của Israel. Sự kiện này đánh dấu một sự kết hợp đáng sợ giữa các mục tiêu địa chính trị với tống tiền mạng, cho thấy rằng động cơ của các cuộc tấn công ransomware không còn giới hạn ở lợi ích tài chính mà đã mở rộng sang mục tiêu chính trị và chiến lược.
Các Ngành Bị Tấn Công Trọng Điểm
Chính phủ và Khu vực Công cộng
Báo cáo nhấn mạnh một xu hướng đáng lo ngại là sự gia tăng mạnh mẽ các cuộc tấn công vào các cơ quan chính phủ và khu vực công cộng. Nhiều hạt của Hoa Kỳ, các cơ quan của Colombia và các bộ của Pháp đã trở thành nạn nhân. Điều này cho thấy một sự thay đổi chiến thuật theo hướng gây gián đoạn xã hội hơn là chỉ thu lợi tài chính, như các trường hợp đã ghi nhận về việc các tổ chức lớn phải trả tiền chuộc để phục hồi dữ liệu.
Sản xuất
Ngành sản xuất, xương sống của chuỗi cung ứng toàn cầu, cũng phải chịu đựng các cuộc tấn công chiến lược. Các tập đoàn chủ chốt trong ngành ô tô và dầu mỏ đã bị xâm nhập, dẫn đến những gián đoạn tiềm tàng trên diện rộng trong sản xuất và phân phối.
Y tế
Các tổ chức y tế ở Hoa Kỳ và UAE đối mặt với các vụ vi phạm dữ liệu quan trọng đến tính mạng, đặt ra mối lo ngại khẩn cấp về an toàn bệnh nhân và khả năng duy trì dịch vụ chăm sóc. Những cuộc tấn công này có thể gây ra hậu quả nghiêm trọng vượt xa thiệt hại tài chính đơn thuần.
Giải trí
Các cuộc tấn công vào các thương hiệu giải trí toàn cầu báo hiệu một ranh giới mới trong tác động của ransomware, không chỉ về thiệt hại tài chính mà còn về danh tiếng và niềm tin của người dùng. Mục tiêu của các cuộc tấn công này thường là thông tin nhạy cảm và độc quyền, được sử dụng để tối đa hóa áp lực tống tiền.
Thách Thức và Triển Vọng Đối Phó
Khi các mối đe dọa này đa dạng hóa, pha trộn động cơ tài chính, chính trị và chiến lược, cộng đồng an ninh mạng phải đối mặt với một lời kêu gọi khẩn cấp là củng cố các biện pháp phòng thủ chống lại một bối cảnh đối thủ ngày càng phức tạp và hung hãn. Tính chất chưa được xác minh của một số chi tiết trong báo cáo càng làm tăng thêm thách thức trong việc dự đoán và giảm thiểu các rủi ro đang phát triển này. Điều này nhấn mạnh sự cần thiết của các khuôn khổ bảo mật mạnh mẽ, thích ứng để chống lại làn sóng tấn công mạng chưa từng có này.
