Tình hình các cuộc tấn công ransomware vào doanh nghiệp đã thay đổi ra sao, và vì sao việc trả tiền chuộc trong năm 2025 lại là một quyết định tồi tệ hơn bao giờ hết.
Ngày 12 tháng 5 là Ngày Thế giới Phòng chống Ransomware, một ngày đặc biệt được INTERPOL và Kaspersky thiết lập từ năm 2020. Chúng tôi muốn chia sẻ những xu hướng nổi bật trong các sự cố liên quan đến ransomware đồng thời chỉ ra lý do vì sao việc thương lượng và trả tiền chuộc bằng tiền điện tử đang ngày càng trở thành một ý tưởng tệ hại và vô ích.
Chất lượng công cụ giải mã kém
Khi cơ sở hạ tầng của doanh nghiệp bị mã hóa do một cuộc tấn công, điều đầu tiên mọi tổ chức muốn làm là khôi phục hoạt động bằng cách lấy lại dữ liệu từ các máy chủ và máy trạm càng nhanh càng tốt. Các thông điệp tống tiền thường khiến nạn nhân tin rằng nếu trả tiền, họ sẽ nhận được một công cụ giải mã giúp khôi phục dữ liệu dễ dàng. Nhưng thực tế, điều này hầu như không xảy ra.
Một số nhóm tống tiền đơn giản là lừa đảo – sau khi nhận tiền, họ không gửi bất kỳ công cụ giải mã nào. Những vụ việc như vậy đã được công khai rộng rãi, điển hình là vụ rò rỉ nội bộ của nhóm ransomware Black Basta.
Kể cả khi có gửi công cụ, các nhóm này thường không am hiểu hoặc không đầu tư vào việc xây dựng phần mềm giải mã hiệu quả. Công cụ họ cung cấp hoạt động kém, dễ lỗi, tốc độ chậm, dễ bị crash khi gặp tệp có tên đặc biệt hoặc xung đột quyền truy cập. Nhiều trường hợp, việc khôi phục từ bản sao lưu còn nhanh và an toàn hơn.
Nguy cơ bị tấn công lặp lại
Ransomware không phải là mối đe dọa một lần. Khi một tổ chức từng trả tiền chuộc, thông tin này dễ dàng bị lan truyền trong giới tội phạm mạng khiến doanh nghiệp trở thành mục tiêu béo bở cho các cuộc tấn công tiếp theo, thậm chí từ những nhóm khác.
Ngoài ra, các nhóm tội phạm thường chia sẻ thông tin với nhau hoặc các thành viên di chuyển giữa các nhóm ransomware-as-a-service. Kể cả khi một nhóm bị triệt phá, những kẻ còn lại vẫn tiếp tục hoạt động dưới cái tên mới.
Pháp luật ngày càng siết chặt
Ngày nay, những kẻ tấn công không chỉ mã hóa dữ liệu mà còn đánh cắp thông tin để tạo ra rủi ro lâu dài về pháp lý, uy tín và tài chính cho doanh nghiệp. Sau sự cố, công ty thường đứng trước ba lựa chọn:
- Công khai sự việc, khôi phục hệ thống mà không giao dịch với hacker.
- Báo cáo sự việc, nhưng trả tiền để lấy lại dữ liệu và ngăn chặn rò rỉ.
- Giấu kín vụ việc bằng cách trả tiền để “mua sự im lặng”.
Lựa chọn cuối cùng là cái bẫy nguy hiểm, có thể khiến công ty chịu hậu quả nghiêm trọng nếu vụ việc bị phát hiện. Nhiều quốc gia hiện đã ban hành luật cấm hành vi này, ví dụ:
- Châu Âu: Chỉ thị NIS2 và DORA yêu cầu báo cáo sự cố bắt buộc và nâng cao tiêu chuẩn an ninh mạng
- Anh: Đang xem xét luật cấm cơ quan chính phủ và hạ tầng trọng yếu trả tiền chuộc.
- Singapore: Đã cập nhật Luật An ninh mạng, mở rộng yêu cầu báo cáo cho cả các sự cố từ chuỗi cung ứng và gián đoạn dịch vụ.
- Hoa Kỳ: Đã và đang thông qua các đạo luật cấm thanh toán lớn (>100.000 USD) và yêu cầu báo cáo nhanh chóng các sự cố.
Kể cả khi công ty phục hồi thành công, nếu từng bí mật trả tiền cho hacker, doanh nghiệp vẫn có thể đối mặt với rủi ro pháp lý, tài chính và uy tín kéo dài hàng năm, đặc biệt nếu sự việc bị phát giác sau khi nhóm tội phạm bị bắt.
Không có gì đảm bảo
Nhiều doanh nghiệp không trả tiền để giải mã, mà để đảm bảo dữ liệu bị đánh cắp không bị công bố. Nhưng trong thế giới ngầm, không có thứ gì gọi là cam kết hay danh dự. Những kịch bản sau có thể khiến dữ liệu của bạn vẫn bị rò rỉ:
- Mâu thuẫn nội bộ giữa các nhóm hacker, dẫn đến việc tung dữ liệu lên mạng để trả đũa.
- Cuộc đột kích của cảnh sát, khiến thông tin về vụ tấn công bị lộ.
- Lỗi kỹ thuật từ phía hacker – hạ tầng bảo mật của chúng cũng dễ bị tấn công và rò rỉ.
Ví dụ, trong năm 2025:
- Black Basta bị rò rỉ nội dung trao đổi nội bộ.
- DragonForce tấn công và công khai dữ liệu từ hai nhóm cạnh tranh.
- Trang web của Lockbit bị hack, toàn bộ danh sách nạn nhân trong 6 tháng bị lộ.
- Tập hợp dữ liệu khổng lồ từ 5 công ty lớn bị nhóm hacktivist DDoSecrets công bố.
Ransomware có thể chỉ là bề nổi
Hoạt động của các nhóm ransomware lớn đã giảm, nhường chỗ cho mô hình Ransomware-as-a-Service (RaaS) nơi chỉ cần một nhóm nhỏ hoặc cá nhân cũng có thể tiến hành tấn công. Đồng thời, ngày càng nhiều vụ việc có động cơ kép: vừa gián điệp, vừa tống tiền.
Trong nhiều trường hợp, mã hóa dữ liệu chỉ là màn khói che giấu hoạt động đánh cắp thông tin. Điều này khiến các doanh nghiệp không thể hiểu rõ mục đích thực sự của kẻ tấn công, cũng như không có cách nào kiểm chứng “uy tín” hay “lời hứa” của chúng.
Giải pháp: chuẩn bị trước, không trả tiền
Trả tiền chuộc không phải là lối thoát, mà là khởi đầu cho những rắc rối dài hạn. Cách duy nhất để phục hồi nhanh chóng sau sự cố là chuẩn bị trước một kế hoạch phản ứng bài bản.
Doanh nghiệp cần
- Xây dựng kịch bản chi tiết cho đội CNTT và an ninh mạng, bao gồm cô lập host, subnet, tắt VPN, ngắt quyền truy cập từ xa, vô hiệu hóa tài khoản chính (và chuyển sang tài khoản dự phòng).
- Đào tạo định kỳ việc khôi phục dữ liệu từ bản sao lưu.
- Lưu trữ backup ở nơi độc lập và an toàn, không thể bị mã hóa cùng hệ thống chính.
Kết luận: Trong bối cảnh tấn công mạng ngày càng phức tạp và luật pháp ngày càng nghiêm ngặt, trả tiền cho tội phạm mạng là một nước đi sai lầm. Doanh nghiệp cần đầu tư vào phòng ngừa, chuẩn bị sẵn sàng cho tình huống xấu nhất và ưu tiên phục hồi từ nội lực thay vì hy vọng vào sự “tử tế” từ kẻ tống tiền.
