Ransomware gây thiệt hại hơn 10 triệu USD tại Việt Nam nửa đầu 2025

Theo VNPT Cyber Immunity, nửa đầu năm 2025, Việt Nam ghi nhận tình hình an ninh mạng nghiêm trọng hơn so với năm 2024, với 155 triệu bản ghi dữ liệu bị rò rỉ và 4,5 triệu tài khoản bị lộ lọt - chiếm 12,6% toàn cầu, tăng 21,4% so với cùng kỳ. 

Các cuộc tấn công ransomware gây thiệt hại hơn 10 triệu USD, với hơn 3 Terabyte dữ liệu bị mã hóa, tăng 15% so với cùng kỳ năm 2024. Các lĩnh vực tài chính-ngân hàng, viễn thông, công nghệ và dịch vụ công là mục tiêu chính.

Trong khi đó, theo số liệu từ Trellix, chi phí trung bình một vụ ransomware tại Việt Nam là 1,85 triệu USD, thấp hơn mức trung bình toàn cầu (2 triệu USD).

Các cuộc tấn công mạng không chỉ nhắm đến doanh nghiệp mà còn hướng vào các hệ thống thiết yếu của quốc gia, bao gồm ngành ngân hàng, tài chính, các tổ chức nhà nước và thậm chí là hệ thống của các cơ quan truyền thông, báo chí. 

Việt Nam là một trong 10 quốc gia bị tấn công mạng nhiều nhất trên thế giới trong 6 tháng đầu năm 2025.

VNPT CTIP thông tin hơn 70% các cuộc tấn công vào các hệ thống tổ chức doanh nghiệp thông qua con đường sử dụng tài khoản hệ thống. Các tài khoản có thể do tin tặc bruteforce thông qua các tài khoản bị lộ lọt bằng mã độc có chức năng thu thập thông tin người dùng hoặc các vụ xâm nhập hệ thống và đánh cắp, phát tán thông tin nhạy cảm trên các hệ thống này.

Các tổ chức lớn thường phải đối mặt với rủi ro cao hơn do quy mô hệ thống phức tạp, dẫn đến việc dễ bị khai thác lỗ hổng và trở thành mục tiêu hấp dẫn cho các nhóm ransomware tinh vi. Các ngành tài chính, Công nghệ, Dịch vụ công và Chăm sóc sức khỏe là mục tiêu bị nhắm đến hàng đầu vì đặc thù lưu trữ dữ liệu nhạy cảm, có giá trị cao và ảnh hưởng lớn đến xã hội nếu bị gián đoạn. 

Số lượng tài khoản lộ lọt trong 6 tháng đầu năm 2025 giảm so với cả năm 2024, nhưng các dữ liệu nhạy cảm hơn như email, SSO, VPN. Mã độc sử dụng Al trong năm 2025 hiệu quả hơn so với năm 2024, làm tăng số vụ rao bán dữ liệu trên dark web.

Các mã độc này không chỉ đánh cắp dữ liệu mà còn tối ưu hóa quá trình phân tích và khai thác, làm tăng tốc độ lan rộng và giá trị kinh tế của dữ liệu bị đánh cắp.

Việt Nam đứng thứ hai khu vực APAC về dữ liệu bị xâm phạm (14,3%) sau Ấn Độ (22%). Trellix báo cáo rằng các nhóm APT như APT41 (Trung Quốc) sử dụng các lỗ hổng zero-day để đánh cắp dữ liệu nhạy cảm, với hoạt động tăng 113% trong 6 tháng đầu năm 2025.

Mô hình Stealer-as-a-Service như VietCredCare tấn công 9 cơ quan chính phủ, 65 trường đại học và 21 ngân hàng. Sự gia tăng của Stealer-as-a-Service là mối đe dọa lớn, đặc biệt với các cơ quan chính phủ.

Theo đánh giá từ VNPT CTIP, trung bình từ đầu năm 2025 mỗi ngày có hơn 110 lỗ hổng mới. Trong bối cảnh các lỗ hổng đang gia tăng mạnh mẽ, đòi hỏi sự phản ứng của các tổ chức trước các cuộc tấn công phải cực kỳ nhanh chóng.

Các sản phẩm có lỗ hổng nghiêm trọng được sử dụng nhiều tại Việt Nam bao gồm các sản phẩm của Palo Alto, Ivanti, phần mềm quản trị Fortinet.

Các lỗ hổng được VNPT nhận thấy xuất hiện nhiều trên các hạ tầng là các loại lỗ hổng Broken Access Control (BAC), Security Misconfiguration tiêu biểu như CVE-2024-7097, CVE-2025-31489, CVE-2024-3656,... 

Các tổ chức và doanh nghiệp thường xử lý và vá các lỗ hổng này trong khoảng 5 ngày. Tuy nhiên, trong nhiều trường hợp, việc giám sát và cập nhật thông tin lỗ hổng ngay khi chúng xuất hiện trên không gian mạng là rất cần thiết. 

Theo thống kê từ VNPT-CTIP, thời gian trung bình để các lỗ hổng bị tin tặc lợi dụng trong các chiến dịch tấn công (vũ khí hóa) là khoảng 8 ngày, trong khi đó, các cuộc rà quét thường diễn ra chỉ trong vòng 4 giờ kể từ khi mã khai thác PoC (Proof of Concept) được công khai trên không gian mạng.