Theo số liệu mới từ Tập đoàn An ninh mạng NCC Group, số lượng các cuộc tấn công ransomware trên toàn cầu đã giảm tháng thứ ba liên tiếp trong tháng 5/2025, bất chấp việc các tổ chức trong ngành bán lẻ tiếp tục là mục tiêu chính.
Cụ thể, NCC Group đã ghi nhận 393 vụ tấn công ransomware trong tháng 5, giảm 6% so với 416 vụ vào tháng 4.
Trước đó, tháng 4 đã chứng kiến mức sụt giảm đáng kể lên đến 31% so với tháng 3, được cho là có liên quan đến sự cố gián đoạn hạ tầng mà nhóm ransomware RansomHub gặp phải.
Điều đáng chú ý là mặc dù có sự suy giảm tổng thể, tháng 5 vẫn ghi nhận một loạt các vụ tấn công nhắm vào các thương hiệu bán lẻ lớn từ cuối tháng 4.
Dữ liệu phân tích cho thấy danh mục ngành “danh mục người tiêu dùng” (consumer directory) đã tăng mạnh từ 73 vụ trong tháng 4 lên 102 vụ trong tháng 5, chiếm 26% tổng số sự cố trong tháng.
Ngành công nghiệp (industrials) là lĩnh vực duy nhất ghi nhận nhiều vụ tấn công hơn, với 118 vụ – chiếm 30% tổng số.
Top 10 lĩnh vực bị tấn công nhiều nhất trong tháng 5. Nguồn NCC Group
Nhóm tin tặc Scattered Spider đã gây sự chú ý lớn tại Anh khi bị cáo buộc đứng sau các cuộc tấn công vào Marks & Spencer (M&S), The Co-op và Harrods.
Sau các sự kiện này, nhiều nhà bán lẻ khác cũng được cho là đã trở thành mục tiêu, bao gồm Adidas, Victoria’s Secret và Cartier.
Safepay Nổi Lên Là Nhóm Ransomware Hoạt Động Mạnh Nhất
Safepay là nhóm ransomware hoạt động tích cực nhất trong tháng 5, với 70 vụ tấn công – chiếm 18% tổng số. Đây là lần đầu tiên nhóm này, vốn chỉ mới xuất hiện từ tháng 11/2024, lọt vào top 10 mối đe dọa do NCC Group thống kê.
Giới chuyên gia nhận định rằng Safepay có thể là phiên bản tái cấu trúc (rebrand) từ các nhóm nổi tiếng như LockBit, ALPHV/BlackCat và INC Ransomware.
“Nếu đúng như vậy, điều này giải thích vì sao một nhóm mới lại có thể tiến hành tấn công với tần suất và tốc độ cao – bởi thực chất đây là các tác nhân đe dọa có kinh nghiệm và nguồn lực đầy đủ, chỉ đơn giản là hoạt động dưới một cái tên mới,” báo cáo phân tích cho biết.
Đứng thứ hai là nhóm Play với 44 vụ tấn công, tiếp theo là Qilin với 42 vụ. Nhóm Akira – đứng đầu trong tháng 4 với 65 vụ – đã tụt xuống vị trí thứ tư trong tháng 5, chỉ còn 35 vụ.
Về phân bố địa lý, Bắc Mỹ tiếp tục là khu vực bị nhắm đến nhiều nhất với 50% tổng số vụ tấn công trong tháng 5, theo sau là Châu Âu (29%), Châu Á (13%) và Nam Mỹ (4%).
Matt Hull – Giám đốc toàn cầu phụ trách tình báo mối đe dọa tại NCC Group – bình luận:
“Mặc dù số lượng các vụ tấn công ransomware được ghi nhận đã giảm trong ba tháng liên tiếp, các nỗ lực an ninh mạng cần được tăng cường thay vì chủ quan. Yếu tố mùa vụ, chẳng hạn như kỳ nghỉ hè đang đến gần, có thể phần nào lý giải xu hướng giảm này. Tuy nhiên, sự trỗi dậy của các nhóm đe dọa mới như Safepay và sự xuất hiện của các lỗ hổng nghiêm trọng liên quan đến AI tiếp tục cho thấy mức độ biến động cao của môi trường ransomware hiện nay.”
Các Lỗ Hổng Bảo Mật Nghiêm Trọng Trong GenAI
Khoảng 72% chuyên gia an ninh mạng cho biết các rủi ro liên quan đến trí tuệ nhân tạo thế hệ mới (GenAI) hiện đang là mối quan ngại hàng đầu trong lĩnh vực CNTT.
Những rủi ro được nêu ra chủ yếu xoay quanh tính bảo mật và độ chính xác của dữ liệu AI. Trong đó, rò rỉ thông tin nhạy cảm là mối nguy phổ biến nhất (46%), theo sau là tấn công đầu độc mô hình hoặc đánh cắp mô hình (42%), dữ liệu không chính xác (40%) và rò rỉ dữ liệu huấn luyện (37%).
Mặc dù mối quan tâm rất lớn, nhưng có đến 33% đội ngũ an ninh chưa tiến hành đánh giá bảo mật thường xuyên – bao gồm kiểm thử xâm nhập (penetration testing) – cho các mô hình ngôn ngữ lớn (LLM) mà họ triển khai.
Theo đánh giá từ Cobalt, kể từ khi bắt đầu thử nghiệm LLM vào năm 2022, khoảng 32% các lỗ hổng phát hiện trong công cụ GenAI được xếp loại nghiêm trọng (mức độ cao hoặc cực cao). Đây là tỷ lệ lỗ hổng nghiêm trọng cao nhất trong tất cả các loại tài sản công nghệ được kiểm thử.
Tuy nhiên, chỉ 21% trong số các lỗ hổng nghiêm trọng này được xử lý, mức thấp nhất trong số tất cả các loại kiểm thử xâm nhập.
SQL Injection – một lỗ hổng kinh điển trong các ứng dụng web là điểm yếu phổ biến nhất được phát hiện trong các bài kiểm thử GenAI, chiếm 19,4%. Một lỗ hổng web truyền thống khác là Stored Cross-Site Scripting cũng đứng ở vị trí cao với tỷ lệ 9,7%.
Theo Cobalt, kết quả này cho thấy các nguyên tắc bảo mật ứng dụng web cơ bản vẫn đóng vai trò then chốt khi triển khai các ứng dụng sử dụng mô hình ngôn ngữ lớn (LLM). Bao gồm: kiểm soát đầu vào chặt chẽ, thực hành lập trình an toàn và cấu hình hệ thống nền tảng một cách hợp lý.
