AI tiếp sức tội phạm mạng tăng tốc, mở rộng quy mô tấn công
Tội phạm mạng là một trong những mối đe dọa phổ biến và tốn kém nhất trên thế giới.
Đây là nhận định của Phó Chủ tịch phụ trách Chiến lược an ninh mạng và Nghiên cứu mối đe dọa toàn cầu tại FortiGuard Labs, Derek Manky.
Fortinet vừa phát hành Báo cáo Tổng quan Mối đe dọa Toàn cầu năm 2026 (2026 Fortinet Global Threat Landscape Report) của FortiGuard Labs. Dữ liệu của báo cáo cho thấy, tội phạm mạng không còn hoạt động riêng lẻ nữa mà chuyển sang xu hướng hệ thống, với các tin tặc độc hại hoạt động xuyên suốt vòng đời từ đầu đến cuối và rút ngắn vòng đời tấn công bằng các tác nhân ngầm.
“Tội phạm mạng là một trong những mối đe dọa phổ biến và tốn kém nhất trên thế giới. Báo cáo Tổng quan Mối đe dọa Toàn cầu mới nhất của chúng tôi cho thấy các tác nhân độc hại đang bắt đầu tận dụng trí tuệ nhân tạo (AI) để thực hiện các cuộc tấn công tinh vi hơn”, ông Derek Manky, Phó Chủ tịch phụ trách Chiến lược an ninh mạng và Nghiên cứu mối đe dọa toàn cầu tại FortiGuard Labs, cho biết.
“Khi tội phạm mạng ngày càng tăng cường sử dụng AI để củng cố chiến thuật của chúng, các nhà bảo vệ mạng phải phát triển các hoạt động an ninh mạng thành một hệ thống phòng thủ công nghiệp hóa và áp dụng các công cụ hỗ trợ AI có khả năng phản hồi với tốc độ tương đương với các mối đe dọa hiện đại”.
Các kỹ thuật tấn công và các lĩnh vực mục tiêu
Theo báo cáo của Fortinet, tội phạm mạng hiện đại vượt qua biên giới, lĩnh vực và thậm chí cả định nghĩa truyền thống về tội phạm. Tốc độ quyết định rủi ro khi thời gian khai thác (TTE) giảm.
Khi AI đẩy nhanh quá trình trinh sát, vũ khí hóa và thực thi, các thông tin tình báo của FortiGuard cho thấy TTE giảm xuống còn 24-48 giờ đối với các đợt bùng phát nghiêm trọng, tăng mạnh so với các báo cáo trước đó cho thấy thời gian này là 4,76 ngày.
Cùng với đó, số nạn nhân ransomware tăng vọt. Thông tin tình báo của đội ngũ FortiRecon đã xác định được 7.831 nạn nhân của mã độc mã hóa trên toàn cầu, tăng vọt so với khoảng 1.600 nạn nhân được xác định trong Báo cáo năm 2025 của Fortinet.
Sự phổ biến của các bộ công cụ tội phạm mạng như WormGPT, FraudGPT và BruteForceAI đã góp phần vào mức tăng 389% này so với năm trước.
Đáng chú ý, ba lĩnh vực bị nhắm mục tiêu hàng đầu bao gồm: sản xuất (1.284), dịch vụ kinh doanh (824) và bán lẻ (682). Về mặt địa lý, các khu vực bị tập trung tấn công bao gồm Hoa Kỳ (3.381), Canada (374) và Đức (291).
Bên cạnh đó, sự phân tán thông tin định danh tạo ra rủi ro trên đám mây. Thông tin tình báo của FortiCNAPP xác nhận trong suốt năm 2025, hầu hết các sự cố trên đám mây được xác nhận đều bắt nguồn từ thông tin đăng nhập bị đánh cắp, bị lộ hoặc bị sử dụng sai mục đích, chứ không phải từ việc khai thác cơ sở hạ tầng.
Phân tích theo ngành cho thấy bệnh viện/phòng khám và các cơ sở bán lẻ là mục tiêu hàng đầu. Số lượng lớn người dùng có thông tin định danh riêng, mô hình truy cập liên kết và tích hợp đám mây phức tạp khiến những nơi này trở thành mục tiêu chính của tin tặc độc hại.
Các nhóm tội phạm mạng hoạt động như các doanh nghiệp “bán tự động”
Theo Dự báo về các mối đe dọa mạng năm 2026 của FortiGuard Labs, các nhóm tội phạm mạng có năng lực nhất hoạt động như các doanh nghiệp “bán tự động”, được hỗ trợ bởi các tác nhân ngầm, các nhà môi giới truy cập và các nhà điều hành mạng botnet cung cấp dịch vụ theo yêu cầu.
FortiRecon đã thu thập được các dấu hiệu từ web đen, phát hiện các công cụ tấn công hỗ trợ bởi AI được quảng cáo dưới dạng dịch vụ và sản phẩm, bao gồm các phiên bản nâng cao của WormGPT và FraudGPT, và các dịch vụ mới như HexStrike AI, một công cụ AI tấn công với khả năng tạo đường dẫn tấn công trinh sát tự động; và BruteForceAI, một công cụ kiểm thử xâm nhập tích hợp các mô hình ngôn ngữ lớn để phân tích biểu mẫu thông minh và có thể thực hiện các cuộc tấn công đa luồng phức tạp.
Với AI, tội phạm làm việc thông minh hơn, không tốn nhiều công sức. Dữ liệu telemetry của FortiGate IPS ghi nhận mức giảm 22% số lần tấn công brute force so với cùng kỳ năm ngoái, cho thấy hiệu quả được cải thiện: với các kỹ thuật tấn công được tối ưu hóa và thông minh hơn, các tác nhân đe dọa đang thực hiện ít lần tấn công hơn vào các mục tiêu được lựa chọn kỹ lưỡng hơn, làm tăng xác suất thành công trên mỗi thông tin đăng nhập được kiểm tra.
Trong Báo cáo năm 2025, FortiGuard Labs đã ghi nhận sự gia tăng 500% dữ liệu (log) có sẵn từ các hệ thống bị xâm nhập bởi phần mềm độc hại đánh cắp thông tin. Năm 2026, thông tin tình báo của FortiRecon cho thấy mức tăng thêm 79%, đồng thời phản ánh xu hướng chuyển dịch sang việc đánh cắp các bộ dữ liệu toàn diện hơn, được hỗ trợ bởi AI.
Trong các hoạt động mua bán cơ sở dữ liệu trên dark web, nhật ký của phần mềm đánh cắp (stealer logs) chiếm ưu thế so với các bộ dữ liệu được quảng cáo và chia sẻ (67,12%), vượt trội so với danh sách tổ hợp (16,47%) và thông tin đăng nhập bị rò rỉ (5,96%).
Trong khi đó, phần mềm độc hại đánh cắp thông tin đăng nhập vẫn là một ngành công nghiệp sinh lợi và là nguồn lực chính tạo ra các lỗ hổng bảo mật. Dữ liệu đo lường của FortiRecon cho thấy hoạt động đánh cắp thông tin đăng nhập chủ yếu đến từ RedLine: 911.968 ca nhiễm (50,80%); Lumma: 499.784 ca (27,84%); và Vidar: 236.778 ca (13,19%).
Báo cáo Tổng quan các mối đe dọa toàn cầu năm 2026 cho thấy, việc khuyến khích ngăn chặn tội phạm mạng chưa bao giờ quan trọng hơn thế. Để giúp các chuyên gia an ninh luôn đi trước tội phạm mạng, Fortinet và Crime Stoppers International đã ra mắt chương trình Cybercrime Bounty nhằm cung cấp một kênh an toàn, ẩn danh cho người dân và các hacker mũ trắng gửi thông tin về các mối đe dọa trên mạng./.
