Tội phạm mạng dùng AI, nạn nhân ransomware tăng 389% toàn cầu

Báo cáo Tổng quan Mối đe dọa Toàn cầu năm 2026 do FortiGuard Labs xây dựng từ dữ liệu thu thập độc quyền, phân tích toàn diện các chiến thuật tấn công theo khuôn khổ MITRE ATT&CK. Đây là bức tranh rõ nhất từ trước đến nay về tốc độ "công nghiệp hóa" của tội phạm mạng, khi các nhóm tin tặc vận hành như doanh nghiệp bán tự động, có chuỗi cung ứng nội bộ và phân công lao động rõ ràng.

Tốc độ tấn công rút ngắn còn tính bằng giờ

Một trong những phát hiện đáng lo ngại nhất của báo cáo là thời gian khai thác lỗ hổng (TTE) giảm mạnh xuống còn 24 đến 48 giờ đối với các đợt tấn công nghiêm trọng, trong khi các báo cáo trước ghi nhận con số này là 4,76 ngày. Dữ liệu thực tế cho thấy các nỗ lực khai thác lỗ hổng React2Shell đã diễn ra chỉ trong vài giờ sau khi lỗ hổng được công bố công khai.

AI chính là yếu tố rút ngắn khoảng cách từ phát hiện đến tấn công. Khi các tác nhân ngầm hỗ trợ tự động hóa bước trinh sát, vũ khí hóa và triển khai, tin tặc không còn cần đội ngũ kỹ sư lành nghề để thực hiện một cuộc tấn công phức tạp.

Ông Derek Manky, Phó chủ tịch phụ trách Chiến lược an ninh mạng tại FortiGuard Labs, nhận định các tổ chức phải xây dựng hệ thống phòng thủ công nghiệp hóa và phản hồi ở tốc độ tương đương với mối đe dọa, không thể dựa vào phản ứng thủ công nữa.

67 tỷ lần tấn công brute force một năm, nhưng thông minh hơn trước

Dữ liệu telemetry của FortiGate IPS ghi nhận 67,65 tỷ sự kiện tấn công brute force trong năm, tương đương khoảng 185 triệu lần mỗi ngày.

Điểm đáng chú ý là tổng số lần tấn công giảm 22% so với cùng kỳ năm ngoái, nhưng tỷ lệ thành công lại cao hơn vì tin tặc lọc mục tiêu kỹ hơn thay vì tấn công tràn lan.

Cùng lúc đó, số lần tấn công khai thác lỗ hổng phần mềm tăng 25,49% trên toàn cầu, phản ánh xu hướng chuyển từ dò mật khẩu sang khai thác điểm yếu kỹ thuật.

Nhật ký phần mềm đánh cắp thống trị dark web

Trong các chợ giao dịch trên web đen, nhật ký phần mềm đánh cắp thông tin (stealer logs) chiếm 67,12% tổng lượng dữ liệu được rao bán, vượt xa danh sách tổ hợp (16,47%) và thông tin đăng nhập bị rò rỉ (5,96%). Năm 2026, FortiRecon ghi nhận mức tăng thêm 79% về khối lượng stealer logs, sau khi năm trước đã tăng 500%.

Ba dòng mã độc đánh cắp thông tin hoạt động mạnh nhất gồm RedLine với 911.968 máy bị nhiễm (chiếm 50,80%), Lumma với 499.784 ca (27,84%) và Vidar với 236.778 ca (13,19%). Các stealer logs nguy hiểm hơn mật khẩu bị rò rỉ đơn thuần vì chúng kết hợp thông tin định danh với dữ liệu trình duyệt và ngữ cảnh phiên đăng nhập, cho phép tin tặc mạo danh người dùng ngay lập tức mà không cần bẻ khóa.

Sản xuất và bán lẻ chịu thiệt hại nặng nhất

Phân tích theo ngành cho thấy lĩnh vực sản xuất chịu thiệt hại nặng nhất với 1.284 nạn nhân ransomware được xác định, tiếp theo là dịch vụ kinh doanh với 824 nạn nhân và bán lẻ với 682 nạn nhân. Đối với tấn công qua thông tin đăng nhập đám mây, bệnh viện và cơ sở bán lẻ là hai nhóm dễ bị tổn thương nhất vì lượng người dùng lớn và hệ thống tích hợp phức tạp.

Về địa lý, Hoa Kỳ dẫn đầu với 3.381 nạn nhân ransomware, Canada đứng thứ hai với 374 và Đức thứ ba với 291. Báo cáo cũng ghi nhận toàn bộ các sự cố đám mây được xác nhận trong năm 2025 đều bắt nguồn từ thông tin đăng nhập bị đánh cắp hoặc sử dụng sai mục đích, không phải từ khai thác lỗ hổng hạ tầng.

Fortinet phối hợp quốc tế triệt phá mạng lưới tội phạm

Trong nỗ lực đối phó, Fortinet phối hợp với INTERPOL trong Chiến dịch Operation Red Card 2.0, triệt phá mạng lưới đứng sau các vụ lừa đảo trực tuyến và gian lận tiền di động tại châu Phi. Công ty cũng là thành viên sáng lập Bản đồ tội phạm mạng của Diễn đàn Kinh tế Thế giới, dùng thông tin tình báo nguồn mở để lập bản đồ cơ sở hạ tầng tội phạm và hỗ trợ các cơ quan thực thi pháp luật.

Fortinet và Crime Stoppers International ra mắt chương trình Cybercrime Bounty, tạo kênh ẩn danh để người dân và hacker mũ trắng báo cáo thông tin về mối đe dọa mạng đang hoạt động.

Nguyên Anh