Những điểm chính:
- 85 nhóm ransomware và tống tiền đang hoạt động được ghi nhận trong Quý 3 năm 2025, phản ánh hệ sinh thái ransomware phi tập trung nhất từ trước đến nay.
- 1.590 nạn nhân được tiết lộ trên 85 trang rò rỉ, cho thấy hoạt động cao và liên tục bất chấp áp lực từ cơ quan thực thi pháp luật.
- 14 thương hiệu ransomware mới ra mắt trong quý này, chứng minh tốc độ nhanh chóng mà các affiliate tái cấu trúc sau khi bị gỡ bỏ.
- Sự trở lại của LockBit với phiên bản 5.0 báo hiệu khả năng tái tập trung sau nhiều tháng phân mảnh.
Trong Quý 3 năm 2025, Check Point Research đã ghi nhận kỷ lục 85 nhóm ransomware và tống tiền đang hoạt động, con số cao nhất từng được quan sát. Thị trường vốn từng tập trung, bị thống trị bởi một vài ông lớn ransomware-as-a-service (RaaS), giờ đây đã phân tán thành hàng chục hoạt động nhỏ hơn, tồn tại trong thời gian ngắn.
Sự gia tăng nhanh chóng của các trang rò rỉ này thể hiện một sự thay đổi cấu trúc cơ bản. Áp lực từ cơ quan thực thi pháp luật và thị trường đã làm gián đoạn các nhóm RaaS lớn, đồng thời thúc đẩy một làn sóng các đối tượng hoạt động phi tập trung, cơ hội, nhiều người trong số họ là các affiliate cũ nay hoạt động độc lập.
Đọc toàn bộ Báo cáo Ransomware Quý 3 năm 2025
Kỷ lục 85 Nhóm đang hoạt động
Trên hơn 85 trang rò rỉ được theo dõi, các đối tượng vận hành ransomware đã công bố:
- 1.592 nạn nhân mới trong Quý 3 năm 2025.
- Trung bình 535 vụ tiết lộ mỗi tháng.
- Sự thay đổi lớn về quyền lực: mười nhóm hàng đầu chỉ chiếm 56% số nạn nhân, giảm từ 71% vào đầu năm nay.
Các đối tượng nhỏ hơn hiện đang công bố dưới mười nạn nhân mỗi nhóm, phản ánh sự gia tăng các hoạt động độc lập ngoài các hệ thống phân cấp RaaS truyền thống. Nhiều nhóm đã xuất hiện từ sự sụp đổ của RansomHub, 8Base và BianLian. Riêng trong Quý 3 đã có 14 nhóm mới bắt đầu hoạt động, nâng tổng số lên 45 nhóm trong năm 2025.
Sự phân mảnh ở cấp độ này làm xói mòn khả năng dự đoán, vốn từng là lợi thế của các chuyên gia an ninh mạng. Khi các thương hiệu RaaS lớn chiếm ưu thế, các đội ngũ bảo mật có thể theo dõi hành vi của các affiliate và việc tái sử dụng hạ tầng. Giờ đây, hàng chục trang rò rỉ tồn tại trong thời gian ngắn khiến việc quy kết trở nên thoáng qua và thông tin tình báo dựa trên danh tiếng kém tin cậy hơn nhiều.
Đọc toàn bộ Báo cáo Ransomware Quý 3 năm 2025.
Tác động hạn chế của cơ quan thực thi pháp luật
Một số vụ triệt phá nổi bật trong năm nay nhắm vào các nhóm như RansomHub và 8Base đã không làm giảm đáng kể khối lượng ransomware. Các affiliate bị ảnh hưởng bởi các hoạt động này chỉ đơn giản là di chuyển hoặc thay đổi thương hiệu.
Vấn đề mang tính cấu trúc. Nỗ lực của cơ quan thực thi pháp luật thường là phá hủy hạ tầng hoặc tịch thu các domain, chứ không phải các affiliate thực hiện tấn công. Khi một nền tảng sụp đổ, những đối tượng điều hành này sẽ phân tán và tập hợp lại trong vài ngày. Kết quả là một hệ sinh thái rộng lớn hơn, kiên cường hơn, giống như tài chính phi tập trung hoặc các cộng đồng mã nguồn mở hơn là một hệ thống phân cấp tội phạm truyền thống.
Sự phân tán này cũng làm suy yếu uy tín của thị trường ransomware. Các nhóm nhỏ hơn, tồn tại trong thời gian ngắn không có động cơ để thực hiện các thỏa thuận tiền chuộc hoặc cung cấp khóa giải mã. Tỷ lệ thanh toán, ước tính chỉ từ 25 đến 40 phần trăm, tiếp tục giảm khi các nạn nhân mất niềm tin vào lời hứa của kẻ tấn công.
LockBit trở lại và tái tập trung
Vào tháng 9 năm 2025, LockBit 5.0 đã đánh dấu sự trở lại của một trong những thương hiệu bền bỉ nhất của tội phạm mạng.
Quản trị viên của nó, LockBitSupp, đã hé lộ về sự trở lại trong nhiều tháng sau vụ triệt phá năm 2024 trong khuôn khổ Operation Cronos. Phiên bản mới mang lại:
- Các biến thể Windows, Linux và ESXi được cập nhật.
- Mã hóa nhanh hơn và khả năng trốn tránh tốt hơn.
- Cổng đàm phán độc đáo cho từng nạn nhân.
Ít nhất một chục nạn nhân đã bị tấn công trong tháng đầu tiên. Chiến dịch này cho thấy sự tự tin mới của các affiliate và sự trưởng thành về kỹ thuật.
Đối với những kẻ tấn công, việc tham gia một thương hiệu dễ nhận biết như LockBit mang lại điều mà các nhóm nhỏ hơn không thể cung cấp: danh tiếng. Nạn nhân có nhiều khả năng thanh toán hơn khi họ tin rằng họ sẽ thực sự nhận được khóa giải mã, một niềm tin mà các chương trình RaaS lớn duy trì cẩn thận.
Nếu LockBit thành công trong việc thu hút các affiliate tìm kiếm cấu trúc và uy tín, nó có thể tái tập trung một phần đáng kể nền kinh tế ransomware. Việc tập trung hóa có hai tác động. Nó giúp việc theo dõi dễ dàng hơn nhưng cũng làm tăng quy mô tiềm năng của các cuộc tấn công phối hợp.
DragonForce và sự thể hiện quyền lực
DragonForce minh họa một chiến lược sinh tồn khác: khả năng hiển thị thông qua xây dựng thương hiệu. Vào tháng 9, nhóm này đã công khai tuyên bố liên minh với cả LockBit và Qilin trên các diễn đàn ngầm. Không có hạ tầng chung nào được xác minh, và các liên minh này dường như mang tính biểu tượng hơn là hoạt động thực tế.
Tuy nhiên, những động thái này làm nổi bật sự phát triển của ransomware theo hướng tiếp thị kiểu doanh nghiệp. DragonForce tự quảng bá mình bằng cách:
- Thông báo hợp tác affiliate.
- Các dịch vụ kiểm toán dữ liệu để phân tích dữ liệu bị đánh cắp và cải thiện đòn bẩy tống tiền.
- Quan hệ công chúng nhằm mục đích thể hiện sức mạnh và độ tin cậy.
Thông điệp của nhóm phản ánh một thị trường cạnh tranh nơi hình ảnh và uy tín có giá trị ngang với tốc độ mã hóa.
Xu hướng theo địa lý và ngành
Mục tiêu toàn cầu trong Quý 3 năm 2025 phần lớn phản ánh các quý trước nhưng có sự thay đổi rõ rệt theo khu vực và ngành.
- Hoa Kỳ chiếm khoảng một nửa số nạn nhân được báo cáo, tiếp tục là mục tiêu chính của các đối tượng có động cơ tài chính.
- Hàn Quốc lần đầu tiên lọt vào top 10 toàn cầu, gần như hoàn toàn do chiến dịch tập trung của Qilin nhắm vào các công ty tài chính.
- Châu Âu vẫn hoạt động mạnh mẽ, với Đức và Vương quốc Anh chịu áp lực liên tục từ Safepay và INC Ransom.
Đọc toàn bộ Báo cáo Ransomware Quý 3 năm 2025
Về phía các ngành công nghiệp:
- Ngành Sản xuất và Dịch vụ kinh doanh mỗi ngành chiếm khoảng 10% các trường hợp được ghi nhận.
- Ngành Chăm sóc sức khỏe duy trì ở mức 8%, mặc dù một số nhóm như Play tránh lĩnh vực này để giảm sự giám sát.
Những thay đổi này cho thấy ransomware được định hướng bởi logic kinh doanh nhiều hơn là ý thức hệ. Các đối tượng nhắm vào các ngành và khu vực có dữ liệu giá trị cao và khả năng chịu đựng thời gian ngừng hoạt động thấp.
Con đường phía trước
Quý 3 năm 2025 khẳng định khả năng phục hồi cấu trúc của ransomware. Áp lực từ cơ quan thực thi pháp luật và thị trường không còn làm giảm tổng khối lượng; chúng chỉ đơn thuần định hình lại bối cảnh. Mỗi vụ triệt phá phân tán các đối tượng, những người này nhanh chóng tái xuất hiện dưới tên mới hoặc tham gia các nhóm mới nổi.
Sự trở lại của LockBit làm tăng thêm một lớp phức tạp, đặt ra câu hỏi liệu ransomware có đang bước vào một chu kỳ hợp nhất mới hay không. Nếu LockBit tái thiết lập sự thống trị, nó có thể khôi phục một phần khả năng dự đoán nhưng cũng cho phép các chiến dịch phối hợp quy mô lớn mà các nhóm nhỏ hơn không thể thực hiện.
Đối với các chuyên gia an ninh mạng, điều cần lưu ý là rõ ràng. Theo dõi các thương hiệu không còn đủ nữa. Các nhà phân tích phải giám sát khả năng di chuyển của affiliate, sự trùng lặp về hạ tầng và động cơ kinh tế — những lực lượng cơ bản duy trì ransomware ngay cả khi các bề mặt của nó phân mảnh.
