Rủi ro leo thang vì tấn công khai thác lỗ hổng và giao thức điều khiển từ xa
Trong bối cảnh các doanh nghiệp tại Đông Nam Á không ngừng đẩy mạnh chuyển đổi số và tăng cường khả năng truy cập từ xa, các cuộc tấn công khai thác lỗ hổng và giao thức điều khiển từ xa (RDP) vẫn tiếp tục là hai phương thức xâm nhập phổ biến nhất của tội phạm mạng.
Không chỉ dùng để đột nhập hệ thống, các hình thức tấn công này còn tạo điều kiện để kẻ tấn công mở rộng phạm vi hoạt động trong mạng nội bộ, từ đó triển khai các hoạt động độc hại quy mô lớn.
Về bản chất, hình thức tấn công khai thác lỗ hổng (exploit) là hình thức lợi dụng các lỗ hổng chưa được vá trên phần mềm hoặc hệ điều hành để xâm nhập trái phép vào hệ thống. Đây hiện vẫn là một trong những "cửa ngõ" phổ biến của tội phạm mạng.
Trong khi đó, các cuộc tấn công nhằm vào giao thức điều khiển từ xa (RDP) thông qua hình thức dò mật khẩu hoặc đánh cắp thông tin đăng nhập, cũng đang liên tục bị lợi dụng để chiếm quyền truy cập trái phép vào mạng lưới doanh nghiệp (DN).
Tấn công khai thác lỗ hổng ẩn trên ứng dụng và hệ điều hành: "Cửa ngõ" để tội phạm mạng xâm nhập hệ thống
Hơn 2 triệu cuộc tấn công khai thác lỗ hổng nhắm vào các tổ chức tại Đông Nam Á đã được Kaspersky ghi nhận trong năm 2025. Trong đó, Indonesia là quốc gia ghi nhận số vụ phát hiện cao nhất khu vực với 932.051 vụ, tiếp theo là Việt Nam với 587.217 vụ và Malaysia với 416.962 vụ.
Xét theo biên độ thay đổi qua từng năm (YoY), mối đe dọa từ hình thức tấn công khai thác lỗ hổng này đang có xu hướng leo thang tại Malaysia với mức tăng trưởng 40%, trong khi Philippines tăng 5% so với cùng kỳ năm trước.
Thuật ngữ "khai thác lỗ hổng" (exploit) dùng để chỉ một chương trình, một đoạn mã hoặc thậm chí là một tệp dữ liệu được tạo ra nhằm lợi dụng các lỗi hoặc lỗ hổng trên ứng dụng và hệ điều hành. Thông qua hình thức này, kẻ tấn công có thể truy cập hoặc chiếm quyền sử dụng hệ thống trái phép.
Phần lớn các hình thức tấn công thông qua phương thức khai thác lỗ hổng thường nhắm vào các hệ thống kết nối Internet, chẳng hạn như các lỗ hổng trên trình duyệt web, lỗi phần mềm máy chủ, và được phát tán trực tuyến.
Tuy nhiên, một số hình thức tấn công cũng có thể diễn ra cục bộ khi khai thác các điểm yếu đặc thù trên thiết bị, điển hình như lỗ hổng liên quan đến USB.
Tấn công RDP: Chiêu trò "nặc danh" để chiếm quyền kiểm soát hệ thống từ xa
Bên cạnh việc khai thác các lỗ hổng phần mềm, tội phạm mạng còn tiếp tục nhắm vào các dịch vụ truy cập từ xa như một cách để trực tiếp chiếm quyền kiểm soát hệ thống.
Dù được phát triển như một công cụ hỗ trợ quản trị từ xa, giao thức điều khiển từ xa (RDP) ngày nay lại thường xuyên bị tội phạm mạng lợi dụng để xâm nhập hệ thống DN. Đây là công cụ hợp pháp cho phép người dùng truy cập từ xa vào các máy tính và máy chủ chạy hệ điều hành Windows.
Tuy nhiên, bằng cách khai thác các cấu hình bị lỗi của giao thức điều khiển từ xa hoặc lỗ hổng phần mềm trên hệ thống, kẻ tấn công có thể đánh chặn phiên truy cập từ xa và đăng nhập vào hệ thống với quyền của chính người dùng hợp pháp.
Theo ghi nhận từ các giải pháp bảo mật dành cho DN của Kaspersky, hơn 35,2 triệu lượt tấn công liên quan đến giao thức điều khiển từ xa đã được phát hiện tại Đông Nam Á trong năm 2025.
Trong đó, Việt Nam và Indonesia là hai quốc gia ghi nhận số lượng vụ việc cao nhất, với lần lượt là 11.420.252 và 10.500.709 vụ. Thái Lan đứng ở vị trí thứ ba với 7.539.536 vụ được phát hiện. Đáng chú ý, Thái Lan cũng là quốc gia duy nhất trong khu vực ghi nhận xu hướng tấn công thông qua giao thức điều khiển từ xa tăng mạnh so với cùng kỳ năm trước (YoY).
Ông Simon Tung, Tổng Giám đốc khu vực Hiệp hội các quốc gia Đông Nam Á (ASEAN) và Cộng đồng kinh tế ASEAN (AEC), nhận định: “Sự gia tăng đồng thời của các hoạt động khai thác lỗ hổng và tấn công vào giao thức điều khiển từ xa cho thấy tội phạm mạng vẫn đang liên tục nhắm mục tiêu vào các DN trong khu vực".
Trong bối cảnh môi trường số tại Đông Nam Á ngày càng đa dạng, các tác nhân đe dọa thường chủ động đánh giá từng mục tiêu để lựa chọn phương thức tấn công dễ xâm nhập nhất. Điều này phản ánh cách thức tấn công ngày càng có chủ đích, linh hoạt và thích ứng hơn.
Để ứng phó với tình trạng này, ông Simon cho biết: "DN cần một chiến lược phòng thủ kết hợp giữa năng lực thám báo mối đe dọa dựa trên AI và các giải pháp bảo mật được thiết kế phù hợp theo nhu cầu vận hành thực tế. Những giải pháp này phải có khả năng liên tục phát hiện lỗ hổng, giám sát các điểm truy cập và phản ứng với mối đe dọa theo thời gian thực trước khi sự cố leo thang”./.
