Báo cáo an ninh mạng từ Rapid7 và Google nêu chi tiết các mối đe dọa leo thang từ việc vũ khí hóa AI và các băng nhóm ransomware

Tóm tắt điều hành

Thông tin tình báo gần đây từ Rapid7 và Google báo hiệu một sự thay đổi mô hình trong bối cảnh an ninh mạng. Các tác nhân đe dọa hiện đang tận dụng trí tuệ nhân tạo tạo sinh để tự động hóa và tăng cường phần mềm độc hại, làm cho nó khó bị phát hiện hơn. Đồng thời, hệ sinh thái ransomware đang hợp nhất, với các nhóm lớn hình thành các băng nhóm để tăng hiệu quả hoạt động và tác động của chúng. Những xu hướng kép này cho thấy một đối thủ có tổ chức hơn, công nghệ tiên tiến hơn và hung hãn hơn, khiến các tư thế bảo mật truyền thống, phản ứng trở nên không đủ và khiến các tập đoàn gặp rủi ro cao hơn.

Chi tiết sự kiện

Vào ngày 12 tháng 11 năm 2025, Rapid7 (NASDAQ: RPD) đã công bố Báo cáo tình hình đe dọa Q3 2025 của mình, xác định hai yếu tố chính làm tăng rủi ro mạng. Thứ nhất là việc vũ khí hóa AI để bỏ qua phân tích bảo mật và tự động hóa các cuộc tấn công. Thứ hai là sự hợp nhất chính thức của các nhóm ransomware, hiện đang hoạt động như các liên minh phối hợp thay vì các thực thể cạnh tranh. Điều này đã dẫn đến "sự lỗi thời của thời gian vá lỗi", khi những kẻ tấn công khai thác các lỗ hổng mới được tiết lộ trong thời gian thực.

Xác nhận những phát hiện này, Nhóm Tình báo Đe dọa của Google (GTIG) đã báo cáo vào ngày 5 tháng 11 năm 2025, rằng các đối thủ đã được quan sát thấy sử dụng các công cụ AI tạo sinh, bao gồm Google Gemini và các mô hình mã nguồn mở, trong các chiến dịch phần mềm độc hại trực tiếp. Các công cụ này đang được sử dụng để phát triển và tự động hóa các cuộc tấn công, tạo ra một loại mối đe dọa thích ứng mới.

Một ví dụ điển hình về sự hợp nhất ransomware là liên minh giữa LockBit, Qilin và DragonForce. Các nhóm này hiện đang hoạt động như một băng nhóm, chia sẻ cơ sở hạ tầng, phần mềm độc hại và chiến thuật đàm phán. Cấu trúc giống doanh nghiệp này, hoàn chỉnh với các mô hình chia sẻ lợi nhuận và tuyển dụng chi nhánh, cho phép chúng khởi động các cuộc tấn công tinh vi hơn và quy mô lớn hơn. Xu hướng này được coi là một phản ứng trực tiếp đối với áp lực ngày càng tăng từ các cơ quan thực thi pháp luật quốc tế, buộc các nhà điều hành tội phạm phải tập hợp các nguồn lực để có khả năng phục hồi và tác động lớn hơn.

Ảnh hưởng đến thị trường

Đối với các tập đoàn, những phát triển này báo hiệu một nhu cầu cấp thiết phải phát triển các chiến lược an ninh mạng của họ. Việc vũ khí hóa nhanh chóng các lỗ hổng có nghĩa là các cơ chế phòng thủ cũ tập trung vào việc vá lỗi không còn đủ nữa. Sự gia tăng của phần mềm độc hại do AI điều khiển đòi hỏi phải áp dụng các giải pháp bảo mật tiên tiến hơn, chẳng hạn như Phát hiện và Phản ứng điểm cuối (EDR) được hỗ trợ bởi AI, có thể xác định và ngăn chặn các tương tác đáng ngờ với các công cụ AI.

Sự tinh vi ngày càng tăng của các tác nhân đe dọa trực tiếp dẫn đến xác suất thành công của các cuộc tấn công cao hơn, gây ra những tổn thất tài chính đáng kể, vi phạm dữ liệu và gián đoạn hoạt động. Môi trường đầy thách thức này củng cố đề xuất giá trị của các công ty an ninh mạng chuyên biệt như Rapid7, vốn cung cấp các dịch vụ phát hiện mối đe dọa nâng cao và quản lý rủi ro.

Bình luận của chuyên gia

Christiaan Beek, Giám đốc cấp cao về Tình báo Đe dọa tại Rapid7, đã tóm tắt ngắn gọn thực tế mới:

"Khoảnh khắc một lỗ hổng được tiết lộ, nó trở thành một viên đạn trong kho vũ khí của kẻ tấn công."

Nghiên cứu từ Symantec ủng hộ quan điểm này, lưu ý rằng số lượng nhóm ransomware hoạt động tăng 56% trong nửa đầu năm 2024 và dự đoán sự xuất hiện của các nhà điều hành hợp nhất lớn hơn nữa vào năm 2025. Công ty an ninh mạng CybelAngel đã lưu ý thêm rằng mô hình băng nhóm mới cho thấy "mức độ chia sẻ tài nguyên chưa từng có", tạo ra một hệ sinh thái ransomware chung mạnh mẽ hơn tổng hợp các bộ phận của nó.

Bối cảnh rộng hơn

Sự phát triển này đánh dấu một sự thay đổi chiến lược trong tội phạm mạng từ các cuộc tấn công rời rạc, cơ hội sang các hoạt động có tổ chức, theo kiểu doanh nghiệp. Việc vũ khí hóa AI là một ví dụ điển hình về công nghệ lưỡng dụng, nơi các công cụ được phát triển cho mục đích doanh nghiệp hợp pháp bị lạm dụng cho các mục đích độc hại. Điều này phản ánh sự chuyển đổi kỹ thuật số rộng lớn hơn và tạo ra một môi trường đe dọa phức tạp và dai dẳng hơn.

Hơn nữa, cơ chế tài chính của các doanh nghiệp tội phạm này cũng đang phát triển. Phân tích cho thấy số tiền thu được từ ransomware ngày càng được rửa tiền thông qua các kỹ thuật trên chuỗi tinh vi, bao gồm hoán đổi chuỗi chéo và các sàn giao dịch tiền điện tử rủi ro cao. Điều này làm nổi bật sự liên kết giữa tội phạm mạng và hệ sinh thái tài sản kỹ thuật số, đặt ra những thách thức liên tục cho quy định và thực thi pháp luật. Sự hình thành các băng nhóm này là một phản ứng trực tiếp đối với áp lực thực thi pháp luật toàn cầu, thể hiện một đối thủ kiên cường và thích nghi tập trung vào các hoạt động dài hạn.