Ransomware 2025: 500+ doanh nghiệp Việt Nam bị tấn công và cách bảo vệ dữ liệu quan trọng

Làn sóng tấn công mã độc tống tiền (ransomware) đang tăng mạnh tại Việt Nam với hơn 500 doanh nghiệp trở thành nạn nhân chỉ trong quý I năm 2025. Đặc biệt trong tháng 3/2025, nhiều hệ thống thông tin quan trọng thuộc lĩnh vực tài chính, năng lượng và viễn thông đã bị tấn công, gây thiệt hại ước tính hàng nghìn tỷ đồng. Theo thống kê của Bkav, có 155.640 máy tính tại Việt Nam bị tấn công bởi mã độc ransomware trong năm 2024, với thiệt hại lên đến hàng chục nghìn tỷ đồng bao gồm tiền chuộc dữ liệu, doanh thu sụt giảm và ảnh hưởng thương hiệu[1]. Bài viết này phân tích chi tiết tình hình tấn công mã độc tống tiền mới nhất, cung cấp các biện pháp phòng chống hiệu quả và chiến lược bảo vệ dữ liệu doanh nghiệp trong bối cảnh mối đe dọa ngày càng tinh vi.

Ransomware là gì và xu hướng tấn công mới nhất tại Việt Nam

Ransomware là gì – Hiểu rõ về mối đe dọa nguy hiểm

Ransomware (hay mã độc tống tiền) là một loại phần mềm độc hại được thiết kế để mã hóa hoặc khóa dữ liệu của nạn nhân, sau đó đòi tiền chuộc để cung cấp khóa giải mã. Sau khi lây nhiễm máy tính, ransomware sẽ tiến hành mã hóa hoặc chặn truy cập dữ liệu lưu trữ, khiến người dùng không thể tiếp cận được thông tin quan trọng của mình[2]. Kẻ tấn công sau đó sẽ yêu cầu nạn nhân trả một khoản tiền chuộc để lấy lại quyền truy cập dữ liệu.

Lịch sử của ransomware bắt đầu từ cuối những năm 1980 với mã độc có tên là AIDS/PC Cyborg, lúc đó chủ yếu nhắm đến các máy tính trong lĩnh vực y tế[2]. Ngày nay, ransomware đã phát triển thành một mô hình tội phạm mạng cực kỳ tinh vi, có khả năng gây ra các tác động trên quy mô toàn cầu, làm gián đoạn hoạt động kinh doanh và dẫn đến mất dữ liệu nghiêm trọng.

Theo các chuyên gia an ninh mạng, ransomware đã trở thành một trong những mối đe dọa lớn nhất trong năm 2025, với các cuộc tấn công ngày càng tinh vi và nhắm vào các mục tiêu có giá trị cao hơn[1]. Mục đích của các đối tượng tấn công không chỉ là mã hóa dữ liệu mà còn đánh cắp thông tin nhạy cảm, đe dọa công khai nếu không nhận được tiền chuộc.

Tình hình tấn công ransomware tại Việt Nam đầu năm 2025

Theo thống kê mới nhất từ Bkav, năm 2024 và các tháng đầu năm 2025 chứng kiến sự hoành hành của virus mã hóa dữ liệu tại Việt Nam[1]. Tính riêng năm 2024, có 155.640 máy tính ở Việt Nam bị tấn công ransomware, gây thiệt hại lên tới hàng chục nghìn tỷ đồng bao gồm tiền trả cho hacker, doanh thu sụt giảm do hệ thống ngưng trệ, và thiệt hại do mất khách hàng[1].

Đáng lo ngại hơn, trong quý I năm 2025, số lượng các cuộc tấn công ransomware đã tăng đáng kể với hơn 500 doanh nghiệp Việt Nam bị ảnh hưởng. Riêng trong tháng 3/2025, các cơ quan chức năng đã ghi nhận một đợt tấn công mới với quy mô lớn, nhắm vào nhiều lĩnh vực quan trọng như tài chính, năng lượng và viễn thông[2].

Các chuyên gia an ninh mạng nhận định rằng nhiều virus vẫn đang ẩn mình tại các hệ thống ở Việt Nam, âm thầm lây lan và sẽ gây hại vào thời điểm thích hợp trong thời gian tới[1]. Điều này đòi hỏi các đơn vị cần nâng cao nhận thức về an ninh mạng và áp dụng các biện pháp phòng ngừa chuyên nghiệp.

Phân tích phương thức tấn công và lây lan của mã độc tống tiền

Cơ chế tấn công mã độc tống tiền

Các cuộc tấn công ransomware hiện nay thường được triển khai theo một quy trình bài bản và có chiến lược rõ ràng. Theo Bộ Công an, cơ chế của một cuộc tấn công ransomware thường bắt đầu từ một điểm yếu bảo mật của tổ chức[2]. Kẻ tấn công xâm nhập hệ thống, duy trì sự hiện diện, mở rộng phạm vi xâm nhập và kiểm soát hạ tầng công nghệ thông tin trước khi tiến hành mã hóa dữ liệu.

Quy trình tấn công ransomware thường diễn ra theo các bước sau:

1. Xâm nhập ban đầu: Thông qua email lừa đảo (phishing), khai thác lỗ hổng bảo mật, mật khẩu yếu, hoặc dịch vụ Remote Desktop Protocol (RDP) không được bảo vệ đúng cách.
2. Duy trì sự hiện diện và di chuyển ngang: Sau khi xâm nhập, kẻ tấn công sẽ tìm cách duy trì quyền truy cập và di chuyển trong mạng nội bộ để tiếp cận các hệ thống quan trọng khác.
3. Thu thập thông tin và chuẩn bị tấn công: Tin tặc sẽ dành thời gian để tìm kiếm và đánh cắp dữ liệu quan trọng trước khi tiến hành mã hóa.
4. Mã hóa dữ liệu: Khi đã sẵn sàng, chúng sẽ kích hoạt mã độc để thực hiện mã hóa dữ liệu trên các máy chủ và hệ thống lưu trữ.
5. Đòi tiền chuộc: Để lại thông báo đòi tiền chuộc để cung cấp khóa giải mã, thường kèm theo thời hạn và đe dọa nếu không thanh toán.

Nghiên cứu của Bkav cũng chỉ ra rằng hoạt động của virus ngày càng nguy hiểm và tinh vi với các chiến lược tấn công rõ rệt, bài bản[1]. Virus mã hóa dữ liệu thường nhắm vào doanh nghiệp với mục tiêu tống tiền với các khoản tiền chuộc khổng lồ, trong khi virus tấn công có chủ đích (APT) âm thầm lây lan trong các cơ quan, tổ chức nhằm đánh cắp thông tin tình báo.

Phương thức lây lan phổ biến của ransomware

Ransomware có thể lây lan qua nhiều con đường khác nhau, với các phương thức phổ biến nhất bao gồm:

1. Email lừa đảo (Phishing): Đây là phương thức phổ biến nhất, khi kẻ tấn công gửi email có chứa tập tin đính kèm độc hại hoặc liên kết đến trang web chứa mã độc. Khi người dùng mở tập tin đính kèm hoặc nhấp vào liên kết, mã độc sẽ được kích hoạt.
2. Khai thác lỗ hổng bảo mật: Tấn công vào các lỗ hổng bảo mật trong phần mềm, hệ điều hành hoặc ứng dụng chưa được cập nhật kịp thời.
3. Tấn công qua RDP: Nhiều cuộc tấn công nhắm vào các kết nối Remote Desktop Protocol không được bảo vệ đúng cách, đặc biệt là trong thời kỳ làm việc từ xa tăng cao.
4. Tấn công chuỗi cung ứng: Phương thức này nhắm vào nhà cung cấp dịch vụ CNTT hoặc phần mềm để lây nhiễm đến các khách hàng của họ, tạo ra ảnh hưởng lan rộng.
5. Quảng cáo độc hại (Malvertising): Sử dụng quảng cáo trực tuyến có chứa mã độc để lây nhiễm người dùng khi nhấp vào.

Theo thông tin từ Bkav, nhiều cơ quan, đơn vị từng bị tấn công thường không cài đặt phần mềm diệt virus chuyên nghiệp, hoặc chỉ sử dụng phần mềm của nước ngoài mà không có sự giám sát của các chuyên gia[1]. Thậm chí nhiều đơn vị chỉ dựa vào tính năng diệt virus có sẵn của hệ điều hành – điều này tạo cơ hội cho các virus tinh vi xâm nhập và gây hại.

Các ngành nghề là mục tiêu chính của tấn công ransomware

Những lĩnh vực thường xuyên bị nhắm đến

Theo thông báo từ Bộ Công an, trong thời gian qua, các chiến dịch tấn công bằng ransomware đã gia tăng mạnh mẽ, nhắm vào nhiều hệ thống thông tin quan trọng tại Việt Nam[2]. Các ngành nghề là mục tiêu chính của tấn công ransomware bao gồm:

1. Tài chính và ngân hàng: Các tổ chức tài chính luôn là mục tiêu hàng đầu do giá trị dữ liệu cao và khả năng thanh toán tiền chuộc lớn[2]. Các cuộc tấn công nhắm vào lĩnh vực này có thể gây ra hậu quả nghiêm trọng đến toàn bộ hệ thống tài chính.
2. Năng lượng: Các công ty dầu khí, điện lực đang bị nhắm đến do vai trò quan trọng trong cơ sở hạ tầng quốc gia[2]. Ví dụ điển hình là vụ tấn công vào Tổng công ty Dầu Việt Nam (PVOIL) ngày 02/4/2024, khiến hệ thống thông tin bị ngưng trệ, việc phát hành hóa đơn điện tử bị gián đoạn[2].
3. Viễn thông: Nhà cung cấp dịch vụ viễn thông nắm giữ lượng lớn dữ liệu người dùng và có vai trò then chốt trong cơ sở hạ tầng thông tin liên lạc quốc gia[2].
4. Y tế: Bệnh viện và cơ sở y tế cần truy cập liên tục vào dữ liệu để duy trì hoạt động chăm sóc bệnh nhân, khiến họ thường phải đối mặt với áp lực lớn khi bị tấn công.
5. Sản xuất: Các doanh nghiệp sản xuất phụ thuộc nhiều vào hệ thống tự động hóa có thể bị gián đoạn nghiêm trọng khi hệ thống điều khiển công nghiệp bị tấn công.
6. Giáo dục: Trường học, đại học thường có hệ thống bảo mật yếu hơn so với các tổ chức thương mại, trong khi lại nắm giữ dữ liệu quan trọng về học sinh, sinh viên và nghiên cứu.
7. Cơ quan nhà nước: Nơi lưu trữ thông tin nhạy cảm và quan trọng về an ninh quốc gia cũng thường xuyên trở thành mục tiêu của các cuộc tấn công có chủ đích.

Lý do các ngành này trở thành mục tiêu

Có nhiều lý do khiến các ngành kể trên trở thành mục tiêu ưa thích của tấn công ransomware:

• Giá trị dữ liệu cao: Những ngành này lưu trữ dữ liệu có giá trị lớn, việc mất dữ liệu có thể gây ra những hậu quả nghiêm trọng đến hoạt động kinh doanh và dịch vụ thiết yếu.
• Khả năng thanh toán: Các tổ chức lớn thường có khả năng tài chính để trả tiền chuộc, làm tăng động lực cho tin tặc nhắm đến họ.
• Áp lực thời gian: Nhiều tổ chức trong các lĩnh vực này không thể chịu đựng sự gián đoạn kéo dài, tạo áp lực buộc họ phải nhanh chóng khôi phục hoạt động, ngay cả khi điều đó đồng nghĩa với việc trả tiền chuộc.
• Mức độ phụ thuộc cao vào hệ thống CNTT: Các tổ chức càng phụ thuộc vào hệ thống CNTT, càng dễ bị tổn thương khi hệ thống đó bị tấn công.
• Bảo mật chưa đầy đủ: Theo Bkav, nhiều cơ quan, đơn vị bị tấn công thường không cài đặt phần mềm diệt virus chuyên nghiệp, hoặc chỉ dựa vào tính năng diệt virus có sẵn của hệ điều hành[1].

Ví dụ thực tế về các vụ tấn công ransomware tại Việt Nam

Vụ tấn công PVOIL tháng 4/2024

Một trong những vụ tấn công ransomware đáng chú ý nhất là vụ tấn công vào Tổng công ty Dầu Việt Nam (PVOIL) ngày 02/4/2024. Hệ thống thông tin của PVOIL đã bị tấn công bởi mã độc ransomware, khiến toàn bộ hệ thống bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng không thể thực hiện được[2].

Hậu quả của vụ tấn công này hết sức nghiêm trọng:

• Website của PVOIL không thể truy cập trong một thời gian dài
• Hoạt động kinh doanh bị gián đoạn nghiêm trọng
• Thiệt hại tài chính lớn do không thể xuất hóa đơn và bán hàng
• Ảnh hưởng đến uy tín và thương hiệu của doanh nghiệp

Vụ tấn công này là một minh chứng cho thấy ngay cả những tập đoàn lớn cũng có thể trở thành nạn nhân của ransomware nếu không có biện pháp bảo vệ đầy đủ.

Chiến dịch tấn công các doanh nghiệp vừa và nhỏ đầu năm 2025

Trong quý I năm 2025, các chuyên gia an ninh mạng đã ghi nhận một chiến dịch tấn công ransomware có quy mô lớn nhắm vào các doanh nghiệp vừa và nhỏ tại Việt Nam. Chiến dịch này sử dụng kỹ thuật phishing tinh vi, gửi email giả mạo cơ quan thuế hoặc cơ quan chức năng với nội dung liên quan đến thanh tra, kiểm tra doanh nghiệp.

Khi người dùng mở tập tin đính kèm hoặc nhấp vào liên kết trong email, mã độc sẽ được kích hoạt và bắt đầu quá trình mã hóa dữ liệu. Nhiều doanh nghiệp đã phải đối mặt với yêu cầu tiền chuộc lên đến hàng trăm triệu đồng, và do không có bản sao lưu dữ liệu đầy đủ, một số doanh nghiệp đã buộc phải trả tiền chuộc để khôi phục hoạt động.

Tấn công vào một bệnh viện lớn tại TP.HCM tháng 3/2025

Vào giữa tháng 3/2025, một bệnh viện lớn tại TP.HCM đã trở thành nạn nhân của một cuộc tấn công ransomware, khiến hệ thống quản lý bệnh nhân, hồ sơ y tế và hệ thống thanh toán bị tê liệt hoàn toàn. Bệnh viện phải chuyển sang sử dụng hệ thống ghi chép thủ công trong nhiều ngày, gây khó khăn nghiêm trọng cho việc điều trị và chăm sóc bệnh nhân.

Cuộc tấn công này được cho là xuất phát từ một nhân viên vô tình nhấp vào một liên kết độc hại trong email. Kẻ tấn công đã yêu cầu số tiền chuộc lớn để cung cấp khóa giải mã dữ liệu, đồng thời đe dọa sẽ công khai thông tin nhạy cảm của bệnh nhân nếu không được thanh toán.

Vụ việc này cho thấy các cơ sở y tế cũng là mục tiêu hấp dẫn của tin tặc, và hậu quả của các cuộc tấn công không chỉ ảnh hưởng đến hoạt động kinh doanh mà còn có thể đe dọa đến tính mạng bệnh nhân.

Các giải pháp sao lưu và bảo vệ dữ liệu doanh nghiệp

Chiến lược sao lưu dữ liệu hiệu quả để phòng chống ransomware

Một trong những biện pháp quan trọng nhất để phòng chống và giảm thiểu tác động của ransomware là xây dựng chiến lược sao lưu dữ liệu hiệu quả. Cục An toàn thông tin (Bộ TT&TT) trong “Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware” đã đề xuất việc xây dựng kế hoạch sao lưu, phục hồi dữ liệu với hệ thống và thông tin quan trọng[4].

Các biện pháp sao lưu dữ liệu hiệu quả bao gồm:

1. Thực hiện quy tắc sao lưu 3-2-1:

• Tạo ít nhất 3 bản sao của dữ liệu quan trọng
• Lưu trữ trên 2 loại phương tiện khác nhau
• Giữ 1 bản sao ở vị trí khác (ngoại tuyến hoặc off-site)

1. Sao lưu “offline”: Việc thực hiện sao lưu “offline” tức là không để các bản sao lưu trong môi trường kết nối mạng, được đề xuất để hạn chế nguy cơ mất dữ liệu khi bị tấn công ransomware[4].
2. Sao lưu thường xuyên và tự động: Thiết lập lịch sao lưu tự động cho dữ liệu quan trọng, với tần suất phù hợp với tốc độ thay đổi dữ liệu của tổ chức.
3. Kiểm tra bản sao lưu định kỳ: Thường xuyên kiểm tra tính toàn vẹn và khả năng khôi phục của các bản sao lưu để đảm bảo chúng hoạt động khi cần thiết.
4. Phân quyền truy cập bản sao lưu: Hạn chế quyền truy cập vào hệ thống sao lưu, chỉ cho phép những người có thẩm quyền cao được truy cập để tránh việc bản sao lưu cũng bị mã hóa.

Các biện pháp bảo vệ dữ liệu doanh nghiệp toàn diện

Ngoài việc sao lưu dữ liệu, doanh nghiệp cần triển khai các biện pháp bảo vệ toàn diện để phòng chống tấn công ransomware. Cục An toàn thông tin đã đưa ra nhiều biện pháp trong “Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công Ransomware”[4]:

1. Triển khai các biện pháp xác thực mạnh cho các tài khoản truy cập hệ thống:

• Thiết lập chính sách bảo mật an toàn cho tất cả các tài khoản quản trị và tài khoản truy cập hệ thống quan trọng
• Triển khai xác thực đa yếu tố (MFA) cho tất cả các dịch vụ nếu có thể, đặc biệt đối với Email, VPN, vCenter, ESXI, và các tài khoản truy cập vào hệ thống quan trọng[4]

1. Thực hiện phân vùng truy cập mạng:

• Phân vùng truy cập mạng đến các tài nguyên một cách chặt chẽ giúp hạn chế việc truy cập trái phép giữa các phân vùng
• Ngăn chặn việc lây lan của mã độc giữa các máy tính với nhau trong mạng nội bộ[4]

1. Cập nhật và vá lỗi thường xuyên:

• Cập nhật phần mềm, hệ điều hành và các ứng dụng ngay khi có bản vá mới
• Thiết lập chính sách cập nhật tự động cho các thiết bị để giảm thiểu rủi ro từ lỗ hổng bảo mật đã được biết đến

1. Sử dụng giải pháp bảo mật đáng tin cậy:

• Triển khai các giải pháp bảo mật có khả năng phát hiện và ngăn chặn ransomware
• Không chỉ dựa vào tính năng diệt virus có sẵn của hệ điều hành mà cần sử dụng phần mềm diệt virus chuyên nghiệp[1]

1. Đào tạo nhân viên về an ninh mạng:

• Tổ chức các khóa đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên
• Hướng dẫn cách nhận biết và phòng tránh các cuộc tấn công phishing, vì đây là một trong những vector tấn công phổ biến nhất

Danh sách kiểm tra đơn giản để phòng chống ransomware

Danh sách kiểm tra hàng ngày cho người dùng

✅ Kiểm tra email cẩn thận trước khi mở tập tin đính kèm hoặc nhấp vào liên kết

• Kiểm tra địa chỉ email người gửi có đáng tin cậy không
• Chú ý các dấu hiệu đáng ngờ như lỗi chính tả, yêu cầu khẩn cấp hoặc hứa hẹn quá mức
• Không mở tập tin đính kèm từ nguồn không rõ ràng hoặc không mong đợi
• Nếu nghi ngờ, hãy xác minh với người gửi qua một kênh liên lạc khác

✅ Cập nhật phần mềm thường xuyên

• Bật tính năng cập nhật tự động trên thiết bị
• Kiểm tra và cài đặt bản cập nhật mới nhất của hệ điều hành
• Cập nhật các ứng dụng, đặc biệt là trình duyệt web và phần mềm bảo mật
• Không trì hoãn việc cài đặt bản cập nhật bảo mật quan trọng

✅ Sao lưu dữ liệu quan trọng

• Thực hiện sao lưu dữ liệu cá nhân quan trọng theo lịch trình đều đặn
• Xác minh bản sao lưu hoạt động tốt bằng cách thử khôi phục một số tập tin
• Lưu trữ bản sao lưu ở nơi an toàn, tách biệt với máy tính chính
• Đảm bảo ít nhất một bản sao lưu được lưu trữ ngoại tuyến, không kết nối với mạng

Danh sách kiểm tra định kỳ cho quản trị viên CNTT

✅ Kiểm tra và tăng cường bảo mật hệ thống

• Rà soát quyền truy cập của người dùng, loại bỏ tài khoản không sử dụng
• Kiểm tra cấu hình bảo mật và áp dụng nguyên tắc đặc quyền tối thiểu
• Đánh giá và vá các lỗ hổng bảo mật trong hệ thống
• Triển khai xác thực đa yếu tố cho tất cả các tài khoản quản trị và tài khoản truy cập hệ thống quan trọng

✅ Kiểm tra chiến lược sao lưu dữ liệu

• Xác minh các bản sao lưu được thực hiện đúng lịch trình
• Kiểm tra khả năng khôi phục dữ liệu từ bản sao lưu
• Đảm bảo có ít nhất một bản sao lưu offline (không kết nối mạng)
• Thực hiện khôi phục thử từ bản sao lưu định kỳ để đảm bảo quy trình hoạt động tốt

✅ Kiểm tra hiệu quả của giải pháp bảo mật

• Cập nhật cơ sở dữ liệu chữ ký của phần mềm diệt virus
• Thực hiện quét toàn bộ hệ thống định kỳ
• Kiểm tra nhật ký (log) bảo mật để phát hiện các hoạt động đáng ngờ
• Đánh giá hiệu quả của các giải pháp bảo mật hiện có và cân nhắc nâng cấp nếu cần

✅ Tổ chức diễn tập ứng phó sự cố

• Thực hành khôi phục dữ liệu từ bản sao lưu
• Xác minh hiệu quả của kế hoạch ứng phó sự cố
• Cập nhật kế hoạch dựa trên kết quả diễn tập
• Đảm bảo tất cả nhân viên đều biết cách phản ứng khi phát hiện dấu hiệu tấn công

Hành động cần thực hiện ngay khi nghi ngờ bị tấn công

✅ Ngắt kết nối mạng ngay lập tức

• Ngắt kết nối Wi-Fi hoặc rút cáp mạng
• Tắt Bluetooth và các kết nối không dây khác
• Cách ly thiết bị khỏi mạng nội bộ để ngăn sự lây lan

✅ Thông báo cho đội ngũ CNTT hoặc bảo mật

• Báo cáo chi tiết các dấu hiệu bất thường
• Cung cấp thông tin về các hành động gần đây trên thiết bị
• Tuân theo chỉ dẫn của đội ngũ CNTT
• Không tự ý thực hiện các biện pháp khắc phục nếu không có chuyên môn

✅ Không trả tiền chuộc

• Trả tiền chuộc không đảm bảo lấy lại được dữ liệu
• Việc trả tiền khuyến khích tội phạm tiếp tục hoạt động
• Tham khảo ý kiến chuyên gia về các giải pháp thay thế
• Báo cáo vụ việc cho cơ quan chức năng

Tại sao phòng chống ransomware là ưu tiên hàng đầu cho doanh nghiệp Việt Nam

Tác động của ransomware đến hoạt động kinh doanh

Tấn công mã độc tống tiền không chỉ gây thiệt hại về mặt tài chính mà còn ảnh hưởng nghiêm trọng đến hoạt động kinh doanh theo nhiều cách:

1. Gián đoạn hoạt động: Các hệ thống CNTT quan trọng có thể bị tê liệt trong nhiều ngày hoặc thậm chí nhiều tuần, khiến hoạt động kinh doanh bị đình trệ hoàn toàn.
2. Thiệt hại tài chính: Theo thống kê của Bkav, thiệt hại do ransomware gây ra có thể lên tới hàng chục nghìn tỷ đồng, bao gồm tiền trả cho hacker chuộc dữ liệu, doanh thu sụt giảm do hệ thống ngưng trệ, thiệt hại do mất khách hàng và ảnh hưởng đến thương hiệu[1].
3. Ảnh hưởng đến danh tiếng: Niềm tin của khách hàng và đối tác có thể bị ảnh hưởng nghiêm trọng khi một doanh nghiệp bị tấn công, đặc biệt nếu dữ liệu khách hàng bị rò rỉ.
4. Rủi ro pháp lý: Doanh nghiệp có thể phải đối mặt với các vấn đề pháp lý nếu dữ liệu cá nhân của khách hàng bị lộ, đặc biệt trong bối cảnh các quy định về bảo vệ dữ liệu ngày càng nghiêm ngặt.
5. Chi phí phục hồi: Khôi phục hệ thống và dữ liệu sau một cuộc tấn công có thể tốn kém nhiều lần so với việc đầu tư cho các biện pháp phòng ngừa ban đầu.

Các chuyên gia an ninh mạng nhận định rằng các con số thống kê về thiệt hại do ransomware chỉ là “phần nổi của tảng băng chìm”[1], và thiệt hại thực tế có thể còn lớn hơn nhiều.

Tại sao không nên trả tiền chuộc cho tin tặc

Cơ quan chức năng và các chuyên gia an ninh mạng đều khuyến cáo doanh nghiệp không nên trả tiền chuộc cho tin tặc vì những lý do sau:

1. Không có bảo đảm: Trả tiền chuộc không đảm bảo bạn sẽ nhận được khóa giải mã hoặc lấy lại dữ liệu đầy đủ. Nhiều trường hợp, doanh nghiệp vẫn không thể khôi phục dữ liệu hoàn toàn ngay cả sau khi trả tiền.
2. Khuyến khích tội phạm: Việc trả tiền chuộc sẽ khuyến khích tin tặc tiếp tục hoạt động và nhắm vào nhiều mục tiêu hơn, tạo ra một vòng xoáy tội phạm mạng ngày càng tăng.
3. Có thể bị tấn công lại: Doanh nghiệp đã trả tiền chuộc thường được coi là “mục tiêu dễ dàng” và có thể bị tấn công lại sau một thời gian, vì tin tặc biết rằng doanh nghiệp đó sẵn sàng trả tiền.
4. Tài trợ cho tội phạm: Tiền chuộc có thể được sử dụng để tài trợ cho các hoạt động tội phạm khác, thậm chí là khủng bố.
5. Có thể vi phạm pháp luật: Trong một số trường hợp, việc trả tiền chuộc có thể vi phạm các quy định về chống tài trợ khủng bố hoặc các biện pháp trừng phạt quốc tế.

Thay vì trả tiền chuộc, doanh nghiệp nên tuân theo khẩu hiệu: “Sao lưu dữ liệu thường xuyên – Không bao giờ trả tiền chuộc cho tin tặc” và tập trung vào các biện pháp phòng ngừa cũng như khôi phục dữ liệu từ bản sao lưu.

Kết luận và hành động tiếp theo

Tấn công mã độc tống tiền (ransomware) đang là mối đe dọa ngày càng nghiêm trọng đối với các doanh nghiệp và tổ chức tại Việt Nam. Với 155.640 máy tính bị tấn công trong năm 2024[1] và hơn 500 doanh nghiệp bị ảnh hưởng trong quý I năm 2025, đây rõ ràng là vấn đề cần được ưu tiên hàng đầu trong chiến lược an ninh mạng của mọi tổ chức.

Các chuyên gia an ninh mạng nhận định ransomware vẫn là một trong những mối đe dọa lớn nhất trong năm 2025 và các cuộc tấn công sẽ ngày càng tinh vi với mục tiêu cao hơn[1]. Đặc biệt, mục tiêu của các đối tượng tấn công không chỉ là mã hóa dữ liệu mà còn đánh cắp thông tin nhạy cảm và đe dọa công khai nếu không nhận được tiền chuộc.

Bảo vệ dữ liệu doanh nghiệp trước các cuộc tấn công ransomware đòi hỏi một chiến lược toàn diện, bao gồm sao lưu dữ liệu thường xuyên theo quy tắc 3-2-1, triển khai các biện pháp xác thực mạnh, thực hiện phân vùng truy cập mạng, cập nhật và vá lỗi thường xuyên, sử dụng giải pháp bảo mật đáng tin cậy, và đào tạo nhân viên về an ninh mạng[4].

Hãy nhớ khẩu hiệu: “Sao lưu dữ liệu thường xuyên – Không bao giờ trả tiền chuộc cho tin tặc”. Đây là nguyên tắc quan trọng nhất để bảo vệ doanh nghiệp của bạn trước mối đe dọa ngày càng gia tăng từ ransomware.

Hành động ngay hôm nay

Đừng đợi đến khi doanh nghiệp của bạn trở thành nạn nhân tiếp theo của ransomware. Hãy thực hiện các biện pháp phòng ngừa ngay từ hôm nay:

1. Đánh giá rủi ro: Xác định các tài sản dữ liệu quan trọng và đánh giá mức độ bảo vệ hiện tại.
2. Xây dựng chiến lược sao lưu: Triển khai hệ thống sao lưu dữ liệu theo quy tắc 3-2-1.
3. Cập nhật giải pháp bảo mật: Đảm bảo các giải pháp bảo mật được cập nhật và có khả năng phát hiện các mối đe dọa mới.
4. Đào tạo nhân viên: Tổ chức các khóa đào tạo về nhận thức an ninh mạng cho tất cả nhân viên.
5. Liên hệ với chuyên gia: Tham khảo ý kiến chuyên gia an ninh mạng để được tư vấn về giải pháp phù hợp với doanh nghiệp của bạn.

Đừng để doanh nghiệp của bạn trở thành con số thống kê tiếp theo trong các báo cáo về nạn nhân của ransomware. Hãy hành động ngay hôm nay để bảo vệ dữ liệu quan trọng của bạn!