Phải chăng ransomware và mã hóa vẫn là những dấu hiệu định hình các cuộc tấn công mạng hiện đại, hay ngành an ninh mạng đã quá tập trung vào "nhiễu" mà bỏ lỡ một sự thay đổi nguy hiểm hơn đang diễn ra âm thầm xung quanh họ?
Theo Báo cáo Đỏ 2026 mới của Picus Labs, đã phân tích hơn 1,1 triệu tệp độc hại và lập bản đồ 15,5 triệu hành động đối đầu được quan sát trong năm 2025, những kẻ tấn công không còn tối ưu hóa để gây gián đoạn. Thay vào đó, mục tiêu của chúng giờ đây là quyền truy cập lâu dài, vô hình.
Rõ ràng, ransomware sẽ không biến mất, và các đối thủ vẫn tiếp tục đổi mới. Nhưng dữ liệu cho thấy một sự thay đổi chiến lược rõ ràng: từ các cuộc tấn công ồn ào, phá hoại sang các kỹ thuật được thiết kế để né tránh phát hiện, tồn tại trong môi trường và âm thầm khai thác danh tính cũng như cơ sở hạ tầng đáng tin cậy. Thay vì đột nhập và phá hủy hệ thống, những kẻ tấn công ngày nay ngày càng hành xử như những Digital Parasites. Chúng sống bên trong vật chủ, lấy cắp credentials và các dịch vụ, và ẩn mình càng lâu càng tốt.
Sự chú ý của công chúng thường hướng về những sự cố ngừng hoạt động nghiêm trọng và tác động rõ ràng. Dữ liệu trong Báo cáo Đỏ năm nay kể một câu chuyện thầm lặng hơn, tiết lộ nơi mà những người phòng thủ thực sự đang mất đi khả năng hiển thị.
Tín hiệu Ransomware đang mờ dần
Trong thập kỷ qua, mã hóa của ransomware từng là tín hiệu rõ ràng nhất về rủi ro mạng. Khi hệ thống của bạn bị khóa và hoạt động bị đóng băng, việc bị xâm nhập là không thể phủ nhận.
Tín hiệu đó hiện đang mất dần đi sự liên quan. Hàng năm, Data Encrypted for Impact (T1486) đã giảm 38%, từ 21,00% vào năm 2024 xuống còn 12,94% vào năm 2025. Sự suy giảm này không cho thấy khả năng tấn công của kẻ xấu giảm đi, mà thay vào đó, nó phản ánh một sự thay đổi chiến lược có chủ đích.
Thay vì khóa dữ liệu để buộc thanh toán, các threat actors đang chuyển sang tống tiền dữ liệu làm mô hình kiếm tiền chính của chúng. Bằng cách tránh mã hóa, những kẻ tấn công giữ cho hệ thống vẫn hoạt động trong khi chúng:
- Âm thầm exfiltrate dữ liệu nhạy cảm
- Thu thập credentials và tokens
- Duy trì sự hiện diện trong môi trường trong thời gian dài
- Gây áp lực sau này thông qua tống tiền thay vì gây gián đoạn
Hàm ý rất rõ ràng: tác động không còn được định nghĩa bởi các hệ thống bị khóa, mà bởi thời gian kẻ tấn công có thể duy trì quyền truy cập trong hệ thống của vật chủ mà không bị phát hiện.
"Mô hình kinh doanh của kẻ thù đã chuyển từ gây gián đoạn ngay lập tức sang duy trì quyền truy cập lâu dài." – Picus Red Report 2026
Trộm cắp Credentials trở thành Mặt phẳng điều khiển (Một phần tư số cuộc tấn công)
Khi những kẻ tấn công chuyển sang duy trì sự hiện diện lâu dài, tàng hình, danh tính trở thành con đường đáng tin cậy nhất để kiểm soát.
Báo cáo Đỏ 2026 cho thấy Credentials from Password Stores (T1555) xuất hiện trong gần một phần tư số cuộc tấn công (23,49%), khiến việc trộm cắp credentials trở thành một trong những hành vi phổ biến nhất được quan sát trong năm qua.
Thay vì dựa vào credential dumping ồn ào hoặc các chuỗi exploit phức tạp, những kẻ tấn công ngày càng trích xuất các credentials đã lưu trữ trực tiếp từ trình duyệt, keychains và trình quản lý mật khẩu. Một khi chúng có được credentials hợp lệ, privilege escalation và lateral movement thường chỉ cách một vài công cụ quản trị gốc.
Ngày càng nhiều chiến dịch malware hiện đại đang hành xử như Digital Parasites. Không có cảnh báo, không có sự cố, và không có dấu hiệu rõ ràng. Chỉ có một sự tĩnh lặng đáng sợ.
Logic tương tự này giờ đây định hình tradecraft của kẻ tấn công một cách rộng rãi hơn.
80% các kỹ thuật ATT&CK hàng đầu hiện ưu tiên tàng hình
Mặc dù MITRE ATT&CK® framework có phạm vi rộng lớn, hoạt động của malware trong thế giới thực vẫn tiếp tục tập trung vào một bộ nhỏ các kỹ thuật ngày càng ưu tiên evasion và persistence.
Báo cáo Đỏ 2026 tiết lộ một sự mất cân bằng rõ rệt: Tám trong số mười kỹ thuật MITRE ATT&CK hàng đầu hiện chủ yếu dành cho evasion, persistence, hoặc command-and-control tàng hình. Điều này thể hiện sự tập trung cao nhất của tradecraft tập trung vào tàng hình mà Picus Labs từng ghi nhận, báo hiệu một sự thay đổi cơ bản trong các metrics thành công của kẻ tấn công.
Thay vì ưu tiên tác động ngay lập tức, các đối thủ hiện đại đang tối ưu hóa cho thời gian dwell time tối đa. Các kỹ thuật cho phép kẻ tấn công ẩn mình, hòa trộn vào môi trường và duy trì hoạt động trong thời gian dài giờ đây quan trọng hơn những kỹ thuật được thiết kế để gây gián đoạn.
Dưới đây là một số hành vi phổ biến nhất được quan sát từ báo cáo năm nay:
- T1055 – Process Injection cho phép malware chạy bên trong các process hệ thống đáng tin cậy, khiến hoạt động độc hại khó phân biệt với việc thực thi hợp pháp.
- T1547 – Boot or Logon Autostart Execution đảm bảo persistence bằng cách sống sót qua việc khởi động lại và đăng nhập của người dùng.
- T1071 – Application Layer Protocols cung cấp "kênh thì thầm" cho command-and-control, hòa trộn lưu lượng truy cập của kẻ tấn công vào các giao tiếp web và cloud thông thường.
- T1497 – Virtualization and Sandbox Evasion cho phép malware phát hiện môi trường phân tích và từ chối thực thi khi nó nghi ngờ đang bị quan sát.
Hiệu quả tổng hợp là rất mạnh mẽ. Các process trông hợp pháp sử dụng các công cụ hợp pháp để hoạt động âm thầm qua các kênh đáng tin cậy rộng rãi. Phát hiện dựa trên signature gặp khó khăn trong môi trường này, trong khi behavioral analysis ngày càng trở nên quan trọng để xác định hoạt động bất hợp pháp được thiết kế có chủ đích để trông bình thường.
Nơi mà mã hóa từng định nghĩa cuộc tấn công, thì giờ đây, tàng hình định nghĩa sự thành công của nó.
Mã độc "tự nhận thức" từ chối bị phân tích
Khi tàng hình trở thành thước đo chính của sự thành công, việc chỉ riêng né tránh phát hiện là chưa đủ. Kẻ tấn công cũng phải tránh kích hoạt các công cụ mà người phòng thủ dựa vào để quan sát hành vi độc hại của chúng ngay từ đầu. Báo cáo Đỏ 2026 cho thấy điều này rõ ràng trong sự gia tăng của Virtualization and Sandbox Evasion (T1497), đã vươn lên hàng đầu trong tradecraft của kẻ tấn công vào năm 2025.
Malware hiện đại ngày càng đánh giá nơi nó đang hoạt động trước khi quyết định có nên hành động hay không. Thay vì dựa vào các kiểm tra artifact đơn giản, một số mẫu đánh giá ngữ cảnh thực thi và tương tác của người dùng để xác định xem chúng có thực sự đang hoạt động trong một môi trường thực hay không.
Trong một ví dụ được nêu bật trong báo cáo, LummaC2 đã phân tích các mẫu chuyển động chuột bằng cách sử dụng hình học, tính toán khoảng cách Euclidean và góc con trỏ để phân biệt tương tác của con người với chuyển động tuyến tính điển hình của môi trường sandbox tự động. Khi các điều kiện xuất hiện nhân tạo, nó đã cố ý ngăn chặn mọi thực thi và chỉ nằm yên, âm thầm chờ đợi thời cơ.
Hành vi này phản ánh một sự thay đổi sâu sắc hơn trong logic của kẻ tấn công. Malware không còn có thể được tin cậy để tự tiết lộ trong môi trường sandbox. Nó cố tình giữ lại hoạt động, duy trì trạng thái ngủ đông cho đến khi nó tiếp cận một hệ thống sản xuất thực sự.
Trong một hệ sinh thái bị chi phối bởi tàng hình và persistence, sự không hành động tự thân đã trở thành một kỹ thuật evasion cốt lõi.
AI: Hype và Thực tế: Tiến hóa, không phải Cách mạng
Với việc những kẻ tấn công thể hiện hành vi ngày càng thích nghi, việc đặt câu hỏi về vai trò của trí tuệ nhân tạo trong bức tranh này là điều tự nhiên.
Dữ liệu của Báo cáo Đỏ 2026 đưa ra một câu trả lời có chừng mực. Mặc dù có nhiều suy đoán rộng rãi, gần như mong đợi, về việc AI định hình lại bối cảnh malware, Picus Labs không quan sát thấy sự gia tăng đáng kể nào trong các kỹ thuật malware do AI điều khiển trong bộ dữ liệu năm 2025.
Thay vào đó, các hành vi phổ biến nhất vẫn quen thuộc. Các kỹ thuật lâu đời như Process Injection và Command and Scripting Interpreter tiếp tục thống trị các vụ xâm nhập trong thế giới thực, củng cố rằng những kẻ tấn công không cần AI tiên tiến để vượt qua các biện pháp phòng thủ hiện đại.
Một số họ malware đã bắt đầu thử nghiệm với các API mô hình ngôn ngữ lớn (LLM), nhưng cho đến nay việc sử dụng của chúng vẫn còn hạn chế về phạm vi. Trong các trường hợp được quan sát, các dịch vụ LLM chủ yếu được sử dụng để truy xuất các lệnh được định nghĩa trước hoặc hoạt động như một lớp giao tiếp tiện lợi. Các triển khai này cải thiện hiệu quả, nhưng chúng không thay đổi cơ bản việc ra quyết định hoặc logic thực thi của kẻ tấn công.
Cho đến nay, dữ liệu cho thấy AI đang được hấp thụ vào tradecraft hiện có chứ không phải định nghĩa lại nó. Các cơ chế của Digital Parasite vẫn không thay đổi: trộm cắp credentials, persistence tàng hình, lạm dụng các process đáng tin cậy và dwell time ngày càng dài hơn.
Những kẻ tấn công không chiến thắng bằng cách phát minh ra các kỹ thuật mới hoàn toàn. Chúng đang chiến thắng bằng cách trở nên âm thầm hơn, kiên nhẫn hơn và ngày càng khó phân biệt với hoạt động hợp pháp.
Trở lại Cơ bản cho một Mô hình Đe dọa Khác
Đã thực hiện các báo cáo này hàng năm trong một thời gian, chúng tôi thấy một xu hướng tiếp diễn với nhiều chiến thuật tương tự xuất hiện năm này qua năm khác. Điều đã thay đổi cơ bản là mục tiêu.
Các cuộc tấn công hiện đại ưu tiên:
- duy trì vô hình
- lạm dụng danh tính và công cụ đáng tin cậy
- vô hiệu hóa phòng thủ một cách âm thầm
- duy trì quyền truy cập theo thời gian
Bằng cách tập trung mạnh vào các nguyên tắc bảo mật cơ bản hiện đại, phát hiện dựa trên hành vi, vệ sinh credentials, và continuous Adversarial Exposure Validation, các tổ chức có thể ít tập trung hơn vào các kịch bản tấn công kịch tính và nhiều hơn vào các mối đe dọa đang thực sự thành công ngày nay.
Sẵn sàng xác thực chống lại Ký sinh trùng Kỹ thuật số?
Trong khi các tiêu đề ransomware vẫn chiếm ưu thế trong chu kỳ tin tức, Báo cáo Đỏ 2026 cho thấy, ngày càng nhiều, rủi ro thực sự nằm ở sự xâm nhập âm thầm, dai dẳng. Picus Security tập trung vào việc xác thực các biện pháp phòng thủ chống lại các kỹ thuật cụ thể mà kẻ tấn công đang sử dụng ngay bây giờ, chứ không chỉ những kỹ thuật gây ồn ào nhất.
Sẵn sàng xem dữ liệu đầy đủ đằng sau mô hình Digital Parasite?
Tải xuống Báo cáo Đỏ 2026 của Picus để khám phá những phát hiện của năm nay và hiểu cách các đối thủ hiện đại đang ẩn mình trong mạng lưới lâu hơn bao giờ hết.
Lưu ý: Bài viết này được viết bởi Sıla Özeren Hacıoğlu, Kỹ sư Nghiên cứu Bảo mật tại Picus Security.
