Nếu bạn nghĩ rằng mối đe dọa từ mã độc tống tiền đang ngày càng trở nên tồi tệ hơn - thì bạn đã đúng, vì những phát hiện mới trong báo cáo Searchlight Ransomware H2 2025 đã cho thấy rõ quy mô của vấn đề.
Số lượng các nhóm ransomware đang hoạt động đã đạt mức chưa từng thấy trước đây, với tốc độ tăng trưởng số nạn nhân tăng gấp đôi kể từ năm 2024.
Các nhóm ransomware mới, phức tạp hơn đang tách ra từ những tên tuổi lớn, tạo ra một thị trường cạnh tranh khốc liệt để giành giật nạn nhân.
Năm 2025, mã độc tống tiền phá vỡ mọi kỷ lục.
Số nạn nhân trong năm 2025 đạt tổng cộng 7.458 người - nhiều hơn bất kỳ năm nào trước đó. Nhưng con số này chỉ thể hiện số lượng doanh nghiệp và tổ chức đã tiết lộ rằng họ đã bị tấn công bằng mã độc tống tiền. Hoa Kỳ chịu ảnh hưởng nặng nề nhất, với 1.536 nạn nhân tiết lộ bị tấn công trong năm 2025, tiếp theo là Canada với 182 người, Đức với 167 người và Vương quốc Anh với 131 người.
Số nạn nhân thực sự, chẳng hạn như khách hàng hoặc người dùng có dữ liệu bị đánh cắp trong một cuộc tấn công vào năm 2025 và bị rò rỉ hoặc bán trên dark web, có thể lên đến hàng triệu người.
Năm 2025, có 124 nhóm ransomware đang hoạt động, trong đó 73 nhóm là những nhóm mới gia nhập thị trường. Nhưng một nhóm vẫn là mối đe dọa nguy hiểm nhất - Qilin. Nhóm ransomware-as-a-service (RaaS) này cung cấp phần mềm độc hại của mình để mua, cho phép các hacker liên kết tấn công các tổ chức và nhận một phần tiền chuộc trả lại cho những kẻ điều hành Qilin.
Bằng cách cung cấp bộ công cụ mã độc tống tiền tiên tiến với giá cả phải chăng, rào cản gia nhập vào thế giới mã độc tống tiền đầy lợi nhuận đã được giảm thiểu đáng kể. Nhóm Akira, hoạt động như một nhóm cung cấp dịch vụ mã độc tống tiền (RaaS), tuyên bố sở hữu số lượng nạn nhân lớn thứ hai với 384 nạn nhân.
Các siêu nhóm cũng xuất hiện vào năm 2025 - các hoạt động hợp tác giữa các nhóm ransomware, tập hợp các kỹ năng chuyên môn của họ để tấn công các mục tiêu lớn hơn. Hoạt động chung của Scattered Spider, LAPSUS$ và ShinyHunters là ví dụ điển hình nhất về một siêu nhóm, với bộ ba này đã triển khai một dịch vụ RaaS (Residential As-A-Service) nhờ sự hợp tác của họ.
Một trong những nguyên nhân chính thúc đẩy sự gia tăng các cuộc tấn công ransomware vào năm 2025 là sự phổ biến của trí tuệ nhân tạo (AI). Nhiều nhóm tội phạm đã sử dụng AI để tạo ra các chiến dịch tấn công phi kỹ thuật và bộ công cụ lừa đảo (phishing) có tính thuyết phục cao, có thể khiến một tổ chức sụp đổ chỉ với một cú nhấp chuột.
“Năm 2025 là một năm kỷ lục đối với mã độc tống tiền, được thúc đẩy bởi một hệ sinh thái chuyên nghiệp hóa vẫn duy trì hiệu quả tàn phá khủng khiếp bất chấp áp lực ngày càng tăng từ các cơ quan thực thi pháp luật toàn cầu. Mặc dù chúng ta thấy số lượng nạn nhân giảm nhẹ trong nửa cuối năm, nhưng điều này không nên được hiểu là một chiến thắng”, Luke Donovan, Trưởng bộ phận Tình báo Mối đe dọa của Searchlight Cyber cho biết.
