Thanh toán Ransomware 2025: Ít tiền hơn, nhưng nhiều cuộc tấn công hơn – Một nghịch lý của tội phạm mạng

Bảng cân đối của các khoản thanh toán tiền chuộc trên chuỗi trong năm 2025 tiết lộ một nghịch lý hấp dẫn: Trong khi số tiền trả cho tội phạm mạng giảm, ngành công nghiệp này đồng thời ghi nhận mức tăng chưa từng có về số lượng các cuộc tấn công. Theo một phân tích mới của Chainalysis, các khoản thanh toán tiền chuộc trên chuỗi trong năm ngoái đạt 820 triệu USD – giảm 8% so với ước tính 892 triệu USD năm 2024.

Sự phát triển này cho thấy một xu hướng đáng chú ý: Sau đỉnh cao kỷ lục 1,23 tỷ USD vào năm 2023, các khoản thanh toán tiền chuộc đã giảm hai năm liên tiếp. Tuy nhiên, tin vui này chỉ là một phần của bức tranh. Các cơ chế đằng sau còn phức tạp hơn nhiều và đặt ra những câu hỏi mới về tương lai của tội phạm mạng.

Sự giảm thanh toán: Tại sao các khoản tiền chuộc trên chuỗi năm 2025 lại giảm

Việc giảm các khoản thanh toán tiền chuộc không phải do các cuộc tấn công ít thành công hơn, mà chủ yếu do một sự tái cấu trúc căn bản của thị trường ransomware. Sự phân quyền của các mạng tội phạm mạng đóng vai trò trung tâm trong đó. Trong những năm trước, các biến thể ransomware thống trị như REvil hoặc DarkSide kiểm soát thị trường, thì nay xuất hiện nhiều nhóm nhỏ, độc lập hơn.

Sự phân tán này có hai tác động: Thứ nhất, việc truy đuổi dòng tiền trở nên khó khăn hơn rõ rệt. Các nhà phân tích blockchain ngày càng gặp khó khăn trong việc xác định rõ các giao dịch liên quan đến các hoạt động ransomware cụ thể. Thứ hai, sự lan rộng của các nhóm nhỏ dẫn đến sự trì trệ trong tổng doanh thu – một hệ quả gián tiếp của các biện pháp tăng cường chống lại các mạng ransomware của các cơ quan chức năng toàn cầu.

Tuy nhiên, một bức tranh khác lại xuất hiện khi xem xét trung bình số tiền chuộc. Trong khi số lượng nạn nhân trả tiền giảm, thì trung bình số tiền trả lại tăng đáng kể 368%: từ 12.738 USD năm 2024 lên 59.556 USD năm 2025. Điều này cho thấy những người thực sự trả tiền phải đối mặt với các yêu cầu đòi tiền chuộc cao hơn nhiều.

Số lượng cuộc tấn công đạt đỉnh cao: Mặt trái của xu hướng ransomware

Hiện tượng nghịch lý này rõ ràng hơn khi xem xét thống kê về số lượng các cuộc tấn công. Năm 2025, số nạn nhân ransomware được báo cáo tăng 50% so với năm trước – một kỷ lục trong lịch sử ghi nhận về ransomware. Dù số tiền trả đã giảm, năm 2025 vẫn là năm có số lượng nạn nhân nhiều nhất từ trước đến nay.

Sự gia tăng này còn đi kèm một thống kê đáng chú ý khác: trung bình số tiền chuộc trả theo tỷ lệ với số nạn nhân đạt mức thấp kỷ lục 28%. Nói cách khác, tỷ lệ thành công của các cuộc tấn công tăng mạnh, trong khi tỷ lệ thành công trong việc đòi tiền chuộc giảm. Các chuyên gia cho rằng điều này phản ánh tính chất ngày càng cơ hội của các chiến dịch ransomware hiện đại.

Cần lưu ý rằng tổng số tiền cuối cùng có thể lên tới 900 triệu USD khi các trường hợp khác được phân tích blockchain xác định rõ. Ngay cả với con số dự phòng này, sự chênh lệch giữa 2024 và 2025 vẫn rất nhỏ, cho thấy một giai đoạn trì trệ trong ngành ransomware – nghịch lý là trong khi số lượng các cuộc tấn công bùng nổ.

Thay đổi chiến lược của tội phạm mạng: Từ các tập đoàn lớn đến các doanh nghiệp vừa và nhỏ

Một trong những thay đổi đáng kể nhất trong cảnh ransomware là sự chuyển hướng mục tiêu của các hacker. Phân tích cho thấy các tội phạm mạng ngày càng nhắm vào các tổ chức nhỏ và trung bình, thay vì tập trung vào các tập đoàn lớn. Chiến lược này dựa trên một tính toán đơn giản nhưng hiệu quả: Các nạn nhân nhỏ hơn có khả năng nhanh chóng chấp nhận trả tiền hơn.

Sự chuyển hướng này phần nào giải thích cho việc số lượng các cuộc tấn công tăng lên trong khi tổng lợi nhuận giảm. Các cuộc tấn công quy mô lớn, gây chú ý vào các công ty Fortune-500, ngày càng hiếm hơn và ít sinh lợi hơn vì các tổ chức này được bảo vệ tốt hơn, có nguồn lực và bảo hiểm giúp giảm khả năng phải trả tiền.

Về mặt địa lý, Mỹ vẫn là khu vực bị ảnh hưởng nặng nề nhất, theo sau là Canada, Đức và Vương quốc Anh. Các mục tiêu phổ biến nhất là các doanh nghiệp sản xuất và dịch vụ tài chính. Tuy nhiên, các nhóm ransomware hoạt động rất linh hoạt: họ ít khi chọn mục tiêu dựa trên ngành nghề, mà chủ yếu dựa vào các dịch vụ dễ bị khai thác, cấu hình sai hoặc các lỗ hổng bảo mật mới được phát hiện.

Dù vậy, năm 2025 vẫn chứng kiến một số vụ việc đặc biệt, cho thấy các nhóm ransomware quy mô lớn vẫn còn hoạt động mạnh mẽ. Cuộc tấn công vào Jaguar Land Rover gây thiệt hại ước tính 2,5 tỷ USD, là một trong những sự cố đắt đỏ nhất từ trước đến nay. Một cuộc tấn công khác của nhóm Scattered-Spider làm tê liệt chuỗi bán lẻ Anh Marks & Spencer, gây thiệt hại hàng triệu USD. Những vụ việc này chứng minh rằng các nhóm ransomware hàng đầu vẫn có khả năng thực hiện các chiến dịch quy mô lớn, sinh lợi cao.

Tương lai của mối đe dọa ransomware có khả năng tiếp tục phát triển theo hướng này: một thị trường do các nhóm nhỏ, phân tán chi phối, dựa vào số lượng nhiều thay vì các dự án lớn, xen kẽ bởi các cuộc tấn công hiếm nhưng gây thiệt hại nặng của các băng nhóm tội phạm mạng chuyên nghiệp.