Fortinet: AI trở thành vũ khí mới của tội phạm mạng, số vụ tấn công tăng kỷ lục

Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu năm 2025 của FortiGuard Labs nhấn mạnh sự bùng nổ của tội phạm mạng dưới dạng dịch vụ trên darknet, khiến việc kinh doanh các thông tin xác thực, quyền khai thác và truy cập đang ngày càng phổ biến hơn.

Theo đó, báo cáo thường niên này phác họa bối cảnh và các xu hướng đe dọa đang diễn ra từ năm 2024, bao gồm cả những phân tích toàn diện về tất cả các chiến thuật được sử dụng trong các cuộc tấn công mạng, như được nêu trong khung cơ sở kiến thức và mô hình MITRE ATT&CK. Dữ liệu cho thấy các tác nhân đe dọa đang tăng cường tự động hóa, khai thác các công cụ thương mại hóa và AI để làm xói mòn một cách có hệ thống các lợi thế truyền thống của các nền tảng bảo mật mạng.

Ông Derek Manky, Phó chủ tịch phụ trách Chiến lược an ninh mạng và Nghiên cứu mối đe dọa toàn cầu của FortiGuard Labs cho biết: “Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu mới nhất của chúng tôi đã chỉ rõ việc tội phạm mạng đang tận dụng AI và tự động hóa để đẩy nhanh hoạt động tấn công với tốc độ và quy mô chưa từng có. Tài liệu hướng dẫn bảo mật truyền thống không còn đủ hiệu quả nữa. Các tổ chức sẽ phải nhanh chóng chuyển sang chiến lược phòng thủ chủ động, kết hợp AI, zero trust và tăng cường quản lý nguy cơ một cách liên tục, để có thể luôn đi trước các kẻ tấn công trong bối cảnh mối đe dọa đang thay đổi nhanh chóng hiện nay”.

Các thông tin chính nổi bật của Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu năm 2025:

Quét tự động đạt mức cao kỷ lục bởi các kẻ tấn công nỗ lực xác định sớm các mục tiêu bị lộ

Để tận dụng các lỗ hổng mới phát hiện, tội phạm mạng đang triển khai quét tự động trên quy mô toàn cầu. Số liệu về quét chủ động trong không gian mạng đã đạt đến mức chưa từng có vào năm 2024, tăng 16,7% trên toàn thế giới so với cùng kỳ năm trước, chứng tỏ một lượng lớn thông quan trọng về cơ sở hạ tầng kỹ thuật số đã bị lộ.

FortiGuard Labs đã quan sát và ghi nhận hàng tỷ lượt quét mỗi tháng, tương đương với 36.000 lượt quét mỗi giây. Điều này cho thấy sự tập trung mạnh mẽ của các kẻ tấn công vào việc lập bản đồ các dịch vụ bị lộ như SIP và RDP và các giao thức OT/IoT như Modbus TCP.

“Chợ đen” Darknet phát triển khiến khả năng truy cập vào các bộ công cụ tấn công dựng sẵn trở nên dễ dàng hơn

Vào năm 2024, các diễn đàn tội phạm mạng đã bắt đầu tăng cường hoạt động như các thị trường kinh doanh những bộ công cụ khai thác, với hơn 40.000 lỗ hổng mới được thêm vào Cơ sở dữ liệu lỗ hổng quốc gia, tăng 39% so với năm 2023. Ngoài các lỗ hổng zero-day đang lưu hành trên darknet, các nhà môi giới tăng cường chào mời các thông tin tài khoản xác thực của công ty (20%), quyền truy cập từ xa RDP (19%), bảng điều khiển quản trị (13%) và web shell (12%).

Đáng lưu ý, FortiGuard Labs đã quan sát thấy mức tăng 500% trong năm qua ở nhật ký có sẵn từ các hệ thống bị phần mềm độc hại đánh cắp thông tin xâm nhập, với 1,7 tỷ hồ sơ thông tin xác thực bị đánh cắp được chia sẻ trong các diễn đàn ngầm này.

Các hoạt động tội phạm mạng có AI hỗ trợ đang mở rộng nhanh chóng

Các tác nhân đe dọa an ninh mạng đang khai thác AI để tăng cường tính chân thực của hành vi lừa đảo và trốn tránh các biện pháp kiểm soát bảo mật truyền thống, khiến các cuộc tấn công mạng trở nên hiệu quả hơn và khó phát hiện hơn.

Các công cụ như FraudGPT, BlackmailerV3 và ElevenLabs đang giúp cho các chiến dịch tấn công tăng khả năng mở rộng, đáng tin cậy và hiệu quả hơn, tránh được những hạn chế của các công cụ AI có sẵn.

Các cuộc tấn công có mục tiêu vào những lĩnh vực quan trọng gia tăng

Ở các ngành công nghiệp như sản xuất, chăm sóc sức khỏe và dịch vụ tài chính tiếp tục chứng kiến ​​sự gia tăng các cuộc tấn công mạng được thiết kế riêng, với các hoạt động khai thác cụ thể được lên kế hoạch và triển khai chuyên biệt theo từng lĩnh vực.

Năm 2024, các lĩnh vực bị nhắm mục tiêu nhiều nhất là sản xuất (17%), dịch vụ kinh doanh (11%), xây dựng (9%) và bán lẻ (9%). Các nhóm tội phạm mạng được hậu thuẫn bởi quốc gia (nation-state actors) và các liên minh vận hành mô hình Ransomware-as-a-Service (RaaS) đều tập trung nỗ lực vào các ngành dọc này. Hoa Kỳ là quốc gia chịu gánh nặng nhất của các cuộc tấn công kiểu này (61%), tiếp theo là Vương quốc Anh (6%) và Canada (5%).

Rủi ro bảo mật đám mây và IoT gia tăng

Môi trường điện toán đám mây tiếp tục là mục tiêu hàng đầu, với việc các kẻ tấn công vẫn dai dẳng khai thác các điểm yếu như dịch vụ lưu trữ mở, danh tính được cấp phép quá mức và dịch vụ bị cấu hình sai. Trong 70% các sự cố quan sát được, kẻ tấn công đã truy cập thông qua thông tin đăng nhập từ các khu vực địa lý không quen thuộc, khiến chúng ta phải chú ý hơn tới tầm quan trọng của việc giám sát danh tính trong phòng thủ đám mây.

Thông tin xác thực là “tài sản” của tội phạm mạng

Vào năm 2024, tội phạm mạng đã chia sẻ hơn 100 tỷ hồ sơ bị xâm phạm trên các diễn đàn ngầm, tăng 42% so với cùng kỳ năm trước, chủ yếu là do sự gia tăng của "danh sách kết hợp" chứa tên người dùng, mật khẩu và địa chỉ email bị đánh cắp. Hơn một nửa số bài đăng trên darknet liên quan đến cơ sở dữ liệu bị rò rỉ, cho phép kẻ tấn công tự động hóa các cuộc tấn công nhồi thông tin xác thực ở quy mô lớn.

Các nhóm nổi tiếng như BestCombo, BloddyMery và ValidMail là những nhóm tội phạm mạng hoạt động tích cực nhất trong thời gian này. Chúng tiếp tục hạ thấp rào cản tấn công bằng cách cung cấp các gói dịch vụ có sẵn thông tin xác thực, khiến các vụ chiếm đoạt tài khoản, gian lận tài chính và gián điệp doanh nghiệp gia tăng chóng mặt về số lượng.

Các chuyên gia bảo mật khuyến nghị tăng cường phòng thủ mạng chống lại các mối đe dọa mới nổi

Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu 2025 của Fortinet cung cấp thông tin chi tiết về các chiến thuật và kỹ thuật tấn công mới nhất, đồng thời đưa ra các khuyến nghị mang tính chỉ định và hành động cụ thể. Được thiết kế để hỗ trợ các CISO và nhóm bảo mật, báo cáo đề xuất các chiến lược hiệu quả giúp chống lại các tác nhân đe dọa trước khi chúng tấn công, giúp cho các tổ chức kiến tạo tạo ưu thế chủ động và luôn đi trước các mối đe dọa mạng mới nổi.

Báo cáo năm nay đưa ra những khuyến cáo về phòng thủ bảo mật của các CISO, trong đó nhấn mạnh một số lĩnh vực chiến lược cần tập trung như:

Chuyển từ Phát hiện mối đe dọa truyền thống sang “Quản lý phơi bày mối đe dọa liên tục”

hương pháp chủ động này tập trung vào việc quản lý bề mặt tấn công liên tục, mô phỏng hành vi của đối thủ trong thế giới thực, ưu tiên khắc phục dựa trên rủi ro và tự động hóa các phản ứng phát hiện và phòng thủ. Sử dụng các công cụ mô phỏng vi phạm và tấn công (BAS) để thường xuyên đánh giá các biện pháp phòng thủ như các thành phần endpoint, mạng và đám mây trước các tình huống tấn công trong thế giới thực, đảm bảo khả năng phục hồi trước các kĩ thuật di chuyển ngang và khai thác.

Mô phỏng các cuộc tấn công trong thế giới thực

Thực hiện các bài tập mô phỏng đối thủ, kết hợp Red & Purple team, tận dụng MITRE ATT&CK để kiểm tra các biện pháp phòng thủ chống lại các mối đe dọa như phần mềm tống tiền và các chiến dịch gián điệp.

Giảm bề mặt tấn công

Triển khai các công cụ quản lý bề mặt tấn công (ASM) để phát hiện các tài sản bị lộ, thông tin đăng nhập bị rò rỉ và các lỗ hổng có thể khai thác trong khi liên tục giám sát các diễn đàn darknet để tìm ra các mối đe dọa mới nổi.

Ưu tiên các lỗ hổng có rủi ro cao

Tập trung nỗ lực khắc phục vào các lỗ hổng được các nhóm tội phạm mạng thảo luận tích cực, đồng thời tận dụng các thông tin đánh giá ưu tiên theo rủi ro như EPSS và CVSS để quản lý các bản vá hiệu quả.

Tận dụng nguồn thông tin từ Dark Web

Giám sát các thị trường darknet để tìm các dịch vụ ransomware mới nổi và theo dõi các nỗ lực phối hợp của hacker để giảm thiểu trước các mối đe dọa như DDoS và các cuộc tấn công phá hoại trang web.

Khám phá các Dịch vụ tư vấn của FortiGuard Labs (FortiGuard Labs Advisory Services), cách kết hợp công nghệ tiên tiến và dịch vụ chuyên gia để giúp các tổ chức tăng cường thế trận bảo mật trước khi các mối đe dọa xuất hiện.

Trong trường hợp xảy ra sự cố, FortiGuard Labs cung cấp phản ứng nhanh chóng, hiệu quả và các phân tích chuyên sâu giúp doanh nghiệp giảm thiểu ảnh hưởng tiêu cực và ngăn chặn các cuộc xâm nhập trong tương lai, mang đến sự bảo vệ toàn diện cho doanh nghiệp trong bối cảnh kỹ thuật số ngày càng bất ổn hiện nay.

Tìm hiểu thêm thông tin về Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu 2025 của FortiGuard Labs tại đây.

Theo tạp chí Điện tử và Ứng dụng