Mã độc tống tiền vẫn là mối đe dọa dai dẳng đối với doanh nghiệp Đông Nam Á
Mã độc tống tiền (ransomware) tiếp tục là mối đe dọa hàng đầu đối với các doanh nghiệp nhỏ và vừa (SME) tại Đông Nam Á.
Mối đe dọa không thể xem nhẹ
Trong quý I/2026, theo dữ liệu từ Kaspersky, 3,51% các SME trong khu vực đã trở thành mục tiêu của các cuộc tấn công bằng mã độc tống tiền, tăng so với mức 2,92% của cùng kỳ năm 2025. Indonesia ghi nhận mức tăng đáng kể, tăng từ 2,83% lên 4,01%. Singapore (từ 0,57% lên 0,69%) và Malaysia (từ 2,09% lên 2,74%) cũng ghi nhận mức tăng nhẹ về các mối đe dọa này.
Mặc dù tỉ lệ tấn công bằng mã độc tống tiền nhắm vào các SME tại Philippines, Thái Lan và Việt Nam có xu hướng thuyên giảm, các doanh nghiệp (DN) cần lưu ý những số liệu này không phải là dấu hiệu đáng mừng, mà việc tỷ lệ các SME bị tấn công luôn giữ ở mức cao và ổn định chính là minh chứng rõ nhất cho thấy mối đe dọa này vẫn đang hoành hành dai dẳng.

Bên cạnh đó, số liệu về những vụ tấn công bằng mã độc tống tiền cũng chỉ phản ánh một phần của bức tranh tổng thể. Trên thực tế, các nhóm tội phạm sử dụng phương thức tấn công bằng mã độc tống tiền thường chia cuộc tấn công thành nhiều giai đoạn nối tiếp nhau.
Chỉ khi vụ tấn công tiến đến giai đoạn cuối cùng - khi mã độc bắt đầu khóa dữ liệu - thì hệ thống mới chính thức ghi nhận đó là một vụ tấn công bằng phương thức mã độc tống tiền.
Điều này đồng nghĩa với việc những cuộc tấn công bị ngăn chặn ở các giai đoạn sớm hơn, chẳng hạn như trong quá trình xâm nhập ban đầu (initial access), do thám hệ thống (reconnaissance), thu thập thông tin (discovery) hoặc di chuyển ngang sang các hệ thống khác trong cùng mạng (lateral movement) sẽ không được ghi nhận vào số liệu thống kê. Vì vậy, mức độ phổ biến thực sự của các vụ tấn công bằng mã độc tống tiền trên thực tế thường cao hơn so với số liệu được ghi nhận.

Các nhóm mã độc tống tiền hoạt động mạnh nhất
Báo cáo về tình hình mã độc trong quý I/2026 của Kaspersky cũng chỉ ra một số nhóm mã độc tống tiền hoạt động mạnh nhất, dựa trên số lượng nạn nhân được công bố trên Dedicated Leak Site (DLS) của từng nhóm.
Mã độc tống tiền Clop đứng đầu bảng xếp hạng, khi có tới 14,42% tổng số nạn nhân bị tấn công bởi mã độc này theo như công bố trên DLS. Xếp thứ hai là mã độc tống tiền Qilin với 12,34%, sau khi giữ vị trí dẫn đầu trong kỳ báo cáo trước.
Đáng chú ý, vị trí thứ ba thuộc về The Gentlemen - một nhóm mã độc tống tiền đang mở rộng hoạt động nhanh chóng và ngày càng được giới tội phạm mạng chú ý.
Dù chỉ mới xuất hiện vào khoảng tháng 7/2025, The Gentlemen đã nhanh chóng vượt qua nhiều nhóm mã độc tống tiền có tiếng hoạt động lâu năm. Nghiên cứu mới nhất của Kaspersky cho thấy nhóm này sử dụng các chiến thuật mới và có mức độ tinh vi cao.
Không chỉ tự phát triển các công cụ chuyên biệt thu thập thông tin trên hệ thống của nạn nhân trước khi phát tán mã độc tống tiền, nhóm này còn được cho là hợp tác với Initial Access Broker (IAB) - những đối tượng chuyên môi giới, mua bán quyền truy cập trái phép vào hạ tầng của các tổ chức mà không cần bỏ nhiều công sức.
Theo cảnh báo của Fedor Sinitsyn, chuyên gia bảo mật của Kaspersky: "Việc chỉ triển khai cơ chế sao lưu dữ liệu sẽ không đủ để bảo vệ DN, đặc biệt khi phần lớn các nhóm mã độc tống tiền hiện nay đều sử dụng chiến thuật “tống tiền kép”.
Theo đó, kẻ tấn công không chỉ mã hóa dữ liệu của nạn nhân mà còn đánh cắp các dữ liệu nhạy cảm và đe dọa phát tán nếu nạn nhân từ chối trả tiền chuộc. Vì vậy, DN cần áp dụng chiến lược bảo mật nhiều lớp để có thể bảo vệ hệ thống hiệu quả trước các cuộc tấn công này"./.