Thống Kê Về Tấn Công Bằng Mã Độc Tống Tiền (Ransomware) 2025

20 tháng 11 năm 2025
HangNT112@fpt.com

Mã độc tống tiền gia tăng mạnh: Mức độ rủi ro của doanh nghiệp đạt đỉnh 


Báo cáo IC3 2024 của FBI cho thấy trong năm 2024, IC3 nhận được 3.156 khiếu nại liên quan mã độc tống tiền (ransomware) (tăng 11,7% so với năm trước), với thiệt hại điều chỉnh hơn 12,4 triệu USD – phản ánh rõ mức độ ảnh hưởng tài chính nghiêm trọng mà ransomware gây ra cho doanh nghiệp. 


Dưới đây là một số vụ tấn công ransomware có tác động lớn trong những năm gần đây: 

  • AWS: Một loại mối đe dọa mã độc tống tiền mới có tên Codefinger nhắm vào người dùng AWS S3 bucket vào năm 2025, khiến dữ liệu không thể khôi phục nếu không trả tiền chuộc. 
  • Delta County Memorial Hospital District và River Region Cardiology: Năm 2025, một cuộc tấn công mã độc tống tiền vào bệnh viện ảnh hưởng đến 500.000 bệnh nhân. Hacker đã đánh cắp các dữ liệu nhạy cảm, bao gồm tên, số an sinh xã hội và ngày sinh của bệnh nhân. 
  • AT&T: Một vụ đánh cắp dữ liệu trong môi trường điện toán đám mây Snowflake buộc tổ chức phải trả 370.000 USD tiền chuộc vào năm 2024 để xóa hơn 100 triệu bản ghi cuộc gọi của người dùng


Các cuộc tấn công bằng mã độc tống tiền (ransomware) đã trở thành một trong những loại hình tấn công nguy hiểm nhất hiện nay, khi hacker yêu cầu các khoản tiền chuộc lớn để trả lại dữ liệu nhạy cảm. Việc không trả tiền chuộc có thể khiến doanh nghiệp mất dữ liệu quý giá, mất khách hàng và cuối cùng ảnh hưởng đến doanh thu và tăng trưởng dài hạn. Ví dụ, tại Đức, các vụ tội phạm mạng tăng mạnh. Theo Reuters, khoảng 950 công ty và tổ chức gặp sự cố tấn công bằng mã độc tống tiền trong năm 2024. Thiệt hại kinh tế từ các cuộc tấn công này lên tới 178,6 tỷ euro, tăng từ 30,4 tỷ euro so với năm trước. Những thống kê này phản ánh nhu cầu cấp thiết để các tổ chức tăng cường năng lực an ninh mạng

 

Sự phát triển của mô hình Ransomware-as-a-Service (RaaS) 


Các băng nhóm tội phạm mạng hiện đang “đi thuê” phần lớn hoạt động tấn công. Một số nhóm cung cấp ransomware-as-a-service (RaaS), cho phép nhiều tội phạm mạng triển khai tấn công ransomware hơn. RaaS phát triển nhờ đối tác liên kết (affiliates) và các nhà môi giới truy cập ban đầu (IABs), những người bán thông tin đăng nhập hoặc quyền truy cập, giúp cả các đối tượng ít kỹ năng cũng có thể thực hiện những cuộc tấn công tinh vi.  


Báo cáo năm 2024 của Cơ quan An ninh mạng Liên minh Châu Âu (ENISA) chỉ ra rằng mô hình dựa trên affiliates này là nguyên nhân thúc đẩy số vụ tấn công bằng mã độc tống tiền (ransomware) gia tăng, phản ánh hacker-for-hire làm giảm rào cản gia nhập và mở rộng quy mô tấn công và đồng thời nhấn mạnh động cơ chính của tội phạm mạng vẫn là lợi nhuận tài chính. LockBit là ví dụ điển hình của mô hình RaaS. Theo Cơ quan Tội phạm Quốc gia Anh (NCA), nhóm này đã tiến hành hơn 7.000 cuộc tấn công trên toàn cầu từ tháng 6/2022 đến tháng 2/2024, trước khi thủ lĩnh Dmitry Khoroshev bị lộ danh tính và trừng phạt. 


Thống kê mã độc tống tiền (ransomware) theo ngành 

  • Giáo dục, chính phủ và y tế là các ngành dẫn đầu về số vụ tấn công ransomware gần đây. 
  • Chính phủ: Báo cáo CYFIRMA 2024: 293 nạn nhân ransomware trong chính phủ và dịch vụ công, theo Reuters: tại Đức, các vụ tấn công mạng (bao gồm ransomware) gây thiệt hại 178,6 tỷ euro và theo WSJ: Tháng 8/2024, chính quyền North Miami, Florida, bị ransomware, dịch vụ công bị gián đoạn lâu do lệnh cấm trả tiền chuộc. 
  • Dịch vụ công nghiệp: Statista 2023: ngành sản xuất dẫn đầu với 638 vụ tấn công, hệ thống điều khiển công nghiệp 115 vụ, vận tải 65 vụ. Q4/2023: 43% vụ mã độc tống tiền (ransomware) toàn cầu nhắm vào tổ chức công nghiệp và hạ tầng Bắc Mỹ; châu Âu 32%, châu Á 14%. Sở năng lượng và tiện ích là mục tiêu hàng đầu; thông tin truy cập bị xâm phạm và email độc hại là nguyên nhân phổ biến thứ hai. 
  • Ngân hàng: Theo Statista 2024: 65% tổ chức tài chính bị ransomware, tăng so với 64% năm 2023 và 34% năm 2021. Còn Reuters thì mã độc tống tiền (ransomware) là mối đe dọa phổ biến nhất đối với hạ tầng trọng yếu, dịch vụ tài chính là mục tiêu hàng đầu. 50% khiếu nại ransomware sớm cho FBI liên quan hạ tầng trọng yếu. 


Xu hướng mã độc tống tiền (ransomware) và dự báo mối đe dọa 


Ransomware vẫn là mối đe dọa phổ biến năm 2025, với các nhóm tội phạm tài chính và nhóm được nhà nước bảo trợ liên tục nâng cấp chiến thuật. Các chiến thuật và xu hướng tấn công bằng mã độc tống tiền (ransomware) mới: 

  • Tống tiền kép: kết hợp mã hóa dữ liệu với đánh cắp dữ liệu để gây áp lực nạn nhân. 
  • Ransomware dưới dạng dịch vụ (RaaS) tiếp tục tăng số vụ nhờ hạ thấp rào cản cho hacker. 
  • Tấn công môi trường đám mây: khai thác cấu hình sai và quyền truy cập yếu. 
  • Khai thác lỗ hổng cũ vẫn phổ biến, hacker tấn công các điểm yếu chưa được vá. 
  • Tăng cường đánh cắp thông tin truy cập


Những chiến thuật này cho thấy các tổ chức cần xây dựng năng lực an ninh mạng mạnh mẽ và bảo vệ dữ liệu trước mã độc tống tiền (ransomware). Các cuộc tấn công bằng mã độc tống tiền có thể được quản lý hiệu quả bằng cách xây dựng cơ chế phòng ngừa, phản ứng nhanh và khôi phục


Theo CISA, các tổ chức nên: 

  • Sao lưu dữ liệu và hình ảnh hệ thống liên tục, giữ bản sao offline. 
  • Cập nhật và vá các hệ thống, giải pháp bảo mật. 
  • Kiểm tra và thử nghiệm kế hoạch ứng cứu sự cố định kỳ. 
  • Khi bị ảnh hưởng, cách ly hệ thống bị nhiễm và tìm hỗ trợ từ CISA hoặc FBI. 
  • Thực hiện các biện pháp bảo mật: xác thực đa yếu tố, hạn chế quyền truy cập, phân đoạn mạng để hạn chế di chuyển của hacker. 


Kết luận 


Các cuộc tấn công ransomware tiếp tục gia tăng về tần suất, mức độ tinh vi và tác động tài chính trong nhiều ngành, từ ngân hàng, y tế, giáo dục đến hạ tầng trọng yếu. Chỉ khi tổ chức triển khai chiến lược phòng thủ chủ động, tích hợp và linh hoạt, mới có thể giảm thiểu rủi ro từ ransomware và bảo vệ tài sản, dữ liệu cũng như hoạt động kinh doanh trước các mối đe dọa ngày càng tinh vi trong môi trường số hiện nay. 


Nguồn: Fortinet - Ransomware Statistics and Ransomware Trends 2025