Bối cảnh ransomware toàn cầu đã trải qua một sự xáo trộn đáng kể trong quý 2 năm 2025, được đánh dấu bằng sự ngừng hoạt động đột ngột của nhiều nhóm Ransomware-as-a-Service (RaaS) nổi tiếng. Điều này thể hiện một biến động lớn trong bức tranh tổng thể về mối đe dọa mạng toàn cầu.
Diễn Biến Chính Trong Thị Trường Ransomware Quý 2/2025
Các nhóm RaaS lớn, bao gồm RansomHub, Babuk-Bjorka, FunkSec, BianLian, 8Base, Cactus, Hunters International, và LockBit, đã chấm dứt các hoạt động của mình. Làn sóng biến mất này đã làm phân mảnh hệ sinh thái mã độc ransomware, giảm sự thống trị của các tác nhân chính và thúc đẩy sự gia tăng của các nhóm độc lập nhỏ hơn.
Nỗ lực của các cơ quan thực thi pháp luật toàn cầu đã đóng vai trò then chốt trong sự suy giảm này. Các hoạt động này bao gồm việc triệt phá hạ tầng, ban hành cáo buộc hình sự và phơi bày danh tính của các chi nhánh RaaS.
Song song đó, số lượng nạn nhân được công bố trên các trang Data Leak Sites (DLS) đã giảm 6% so với mức trung bình 12 tháng trước. Điều này cho thấy rõ ràng sự giảm sút trong hoạt động tấn công ransomware. Cụ thể, quý 2 chỉ ghi nhận 1.607 nạn nhân trên hơn 75 nền tảng DLS được giám sát. Con số này là một sự tương phản đáng kể so với 2.289 nạn nhân được ghi nhận trong quý 1.
Dữ liệu chi tiết về các trang DLS và hoạt động của các nhóm ransomware có thể được tham khảo tại: GBHackers – Ransomware Group Data Leak Sites.
Sự sụt giảm số lượng nạn nhân tương quan trực tiếp với tỷ lệ thanh toán tiền chuộc giảm, ước tính chỉ còn khoảng 25-27%. Nguyên nhân của xu hướng này bao gồm các hạn chế về chính sách thanh toán tiền chuộc, sự không đáng tin cậy của các công cụ giải mã do kẻ tấn công cung cấp, và đặc biệt là khả năng phục hồi của nạn nhân được tăng cường thông qua việc triển khai hiệu quả các chiến lược sao lưu dữ liệu.
Phân Bố Địa Lý và Ngành Nghề Bị Ảnh Hưởng bởi Ransomware
Về mặt địa lý, Hoa Kỳ tiếp tục là quốc gia chịu ảnh hưởng nặng nề nhất từ các cuộc tấn công ransomware, chiếm khoảng một nửa số nạn nhân được báo cáo trên toàn cầu. Các nhóm ransomware khác nhau cũng đã nhắm mục tiêu cụ thể vào các khu vực địa lý khác:
- Nhóm Safepay đã tập trung tấn công vào Đức, chiếm 40% trong tổng số 76 nạn nhân của nhóm này.
- Nhóm Akira đã nhắm mục tiêu chính vào Ý, với 10% số nạn nhân của Akira đến từ quốc gia này.
- Nhóm Satanlock đã thực hiện các cuộc tấn công đáng kể tại Brazil, chiếm 14% trong tổng số các trường hợp của nhóm này.
Về ngành nghề, lĩnh vực y tế vẫn đặc biệt dễ bị tổn thương trước các chiến dịch ransomware, đại diện cho 8% tổng số nạn nhân. Trong lĩnh vực này, INC Ransom đã chiếm gần 17% các vụ công bố dữ liệu liên quan đến ngành y tế, chủ yếu thông qua việc sử dụng chiến thuật trích xuất dữ liệu (data exfiltration) thay vì mã hóa đơn thuần.
Sự Trỗi Dậy Của Các Tác Nhân Mới và Các Chiến Thuật Ransomware Tiên Tiến
Sự sụp đổ của RansomHub vào đầu tháng 4 năm 2025 đã tạo ra một khoảng trống chiến lược trong thị trường ransomware. Nhóm Qilin đã nhanh chóng tận dụng cơ hội này, gần như tăng gấp đôi số lượng nạn nhân công bố hàng tháng của mình từ 35 lên 70. Điều này đạt được bằng cách thu hút các chi nhánh bị bỏ rơi từ các nhóm đã ngừng hoạt động thông qua các chiến dịch tuyển dụng tích cực trên các diễn đàn ngầm như Ramp. Để tìm hiểu thêm về các chiến thuật đã từng được RansomHub sử dụng, độc giả có thể tham khảo tại: GBHackers – How RansomHub uses Mimikatz and IP Scanners to Breach Networks.
Là một nhà điều hành RaaS có kinh nghiệm hoạt động từ năm 2022, Qilin cung cấp cho các chi nhánh của mình một bảng điều khiển quản trị tiên tiến. Nền tảng này tích hợp nhiều công cụ cần thiết, bao gồm các công cụ mã hóa (encryptors) mạnh mẽ, cơ sở hạ tầng đàm phán chuyên nghiệp, và các công cụ tống tiền mới lạ. Các tính năng nổi bật bao gồm khả năng tấn công DDoS (Distributed Denial of Service) tích hợp và các dịch vụ hỗ trợ bởi Trí tuệ Nhân tạo (AI) cho việc chuẩn bị khiếu nại quy định, tiếp cận nạn nhân, và làm tràn ngập các kênh liên lạc để tăng áp lực.
Theo báo cáo của Check Point Research, những phát triển này hoàn toàn phù hợp với xu hướng chuyển dịch rộng khắp trong ngành ransomware. Các nhóm đang dần rời bỏ các cuộc tấn công chỉ dựa vào mã hóa (encryption-based attacks) vốn tiềm ẩn rủi ro phát hiện cao và tỷ lệ thanh toán thấp. Thay vào đó, chúng đang chuyển sang hình thức tống tiền dựa trên việc đánh cắp dữ liệu (data-theft extortion), nhấn mạnh việc phơi bày công khai thông tin và tạo ra đòn bẩy tâm lý mạnh mẽ hơn đối với nạn nhân. Báo cáo đầy đủ về tình hình ransomware quý 2 năm 2025 có sẵn tại: Check Point Research – The State of Ransomware Q2 2025.
Những đổi mới của Qilin, chẳng hạn như khả năng đánh giá pháp lý đối với dữ liệu bị đánh cắp để nộp cho các cơ quan chức năng như FBI và việc sử dụng các công cụ spam có thể được hỗ trợ bởi AI, đều nhằm mục đích chính là leo thang áp lực lên nạn nhân và tăng cường tỷ lệ tuân thủ, buộc nạn nhân phải trả tiền chuộc.
Các Chiến Lược Cạnh Tranh và Xu Hướng Nổi Bật trong Lĩnh Vực Ransomware
Trong bối cảnh cạnh tranh ngày càng gay gắt, các đối thủ như DragonForce đã áp dụng các chiến lược hướng đến tiếp thị mạnh mẽ. Nhóm này đã thành lập một “Ransomware Cartel” để thực hiện các hoạt động nhãn trắng (white-label operations), cho phép các nhóm khác sử dụng hạ tầng của chúng. Điều này được cho là đã thu hút sự di chuyển của các chi nhánh từ RansomHub, tương quan với sự tăng vọt số lượng nạn nhân của DragonForce.
Hunters International là một ví dụ điển hình cho xu hướng “low-friction” (ma sát thấp) trong các cuộc tấn công ransomware. Nhóm này đã từ bỏ hoàn toàn việc mã hóa dữ liệu. Thay vào đó, họ chuyển sang sử dụng nền tảng World Leaks để thực hiện việc tống tiền chỉ dựa trên các thông tin dữ liệu bị lộ một cách kín đáo. Phương pháp này chỉ thông báo việc rò rỉ dữ liệu cho ban lãnh đạo của tổ chức bị ảnh hưởng, nhằm giảm thiểu khả năng bị phát hiện công khai.
Các tích hợp Trí tuệ Nhân tạo (AI) mới nổi trong các chiến dịch ransomware, như được thấy trong hỗ trợ đàm phán của Global Group, tiếp tục báo hiệu vai trò ngày càng tăng của tự động hóa trong việc tinh chỉnh tâm lý tống tiền. AI giúp tối ưu hóa quá trình gây áp lực và thuyết phục nạn nhân thanh toán.
Mặc dù có những sự thích nghi đáng kể này, mã hóa vẫn tồn tại như một mối đe dọa mạng nghiêm trọng. Bằng chứng là việc nhóm Scattered Spider đã triển khai các công cụ mã hóa của DragonForce để tấn công các nhà bán lẻ tại Anh như Marks & Spencer, gây ra sự gián đoạn hoạt động nghiêm trọng và tổn thất đáng kể.
Dự Báo về Tương Lai của Mối Đe Dọa Ransomware
Tổng thể, quý 2 năm 2025 đã cho thấy một miền ransomware đang có xu hướng thu hẹp nhưng vẫn kiên cường và có khả năng thích ứng cao. Các dịch chuyển chiến lược hướng tới các mô hình phân mảnh và tập trung vào dữ liệu đã giúp các nhóm ransomware cân bằng lại áp lực ngày càng tăng từ các cơ quan thực thi pháp luật và lợi nhuận đang suy giảm.
Việc hiểu rõ các chiến thuật mới, đặc biệt là sự gia tăng của các vụ dữ liệu bị lộ và tích hợp AI vào quá trình tống tiền, là rất quan trọng để phát triển các biện pháp phòng thủ hiệu quả. Các tổ chức cần liên tục cập nhật chiến lược an ninh mạng của mình để đối phó với những biến động không ngừng của mối đe dọa ransomware.
