
Báo cáo mới nhất từ hãng bảo mật Kaspersky chỉ ra mã độc tống tiền (ransomware) tiếp tục là mối đe dọa hàng đầu đối với khối doanh nghiệp vừa và nhỏ (SMB) tại khu vực Đông Nam Á. Trong quý I/2026, tỷ lệ SMB trong khu vực bị tấn công đạt 3,51%, tăng so với mức 2,92% của cùng kỳ năm ngoái.
Xét theo từng thị trường cụ thể, Ấn Độ và Indonesia là hai quốc gia ghi nhận mức tăng đáng kể nhất, lần lượt từ 3,18% lên 4,07% và từ 2,83% lên 4,01%. Singapore và Malaysia cũng ghi nhận xu hướng tăng nhẹ.
Dù chỉ số tại Việt Nam có chiều hướng giảm từ 2,91% xuống còn 2,56%, các chuyên gia an ninh mạng nhấn mạnh đây không phải là tín hiệu để doanh nghiệp chủ quan xem nhẹ. Việc con số này luôn neo giữ ở mức cao chứng minh mối đe dọa vẫn đang diễn biến dai dẳng.

Thực tế, số liệu thống kê chỉ phản ánh phần nổi của tảng băng chìm. Quy trình tấn công bằng mã độc tống tiền gồm nhiều giai đoạn phức tạp. Nếu cuộc tấn công bị chặn đứng ở các bước ban đầu như xâm nhập, do thám hay di chuyển ngang sang các máy chủ khác trong cùng mạng (lateral movement), hệ thống sẽ không ghi nhận đó là một vụ tấn công ransomware hoàn chỉnh. Do đó, tần suất tấn công trên thực tế được dự báo cao hơn nhiều so với báo cáo.
Báo cáo của Kaspersky cũng liệt kê những nhóm mã độc hoạt động mạnh nhất dựa trên danh sách nạn nhân bị công bố trên Dedicated Leak Site (DLS). Đứng đầu bảng xếp hạng là mã độc Clop với tỷ lệ 14,42%, theo sau là Qilin với 12,34%.
Đáng chú ý, vị trí thứ ba thuộc về The Gentlemen - một nhóm mã độc mới xuất hiện từ tháng 7/2025, nhưng đã nhanh chóng vượt mặt nhiều đối thủ lâu năm nhờ chiến thuật tinh vi. Nhóm này không chỉ tự phát triển công cụ thu thập thông tin chuyên biệt mà còn bắt tay với các bên môi giới bán quyền truy cập trái phép (Initial Access Broker - IAB), để thâm nhập hệ thống của nạn nhân mà không cần tốn nhiều công sức.
Nói về rủi ro này, ông Fedor Sinitsyn, chuyên gia bảo mật của Kaspersky, cho biết: "Việc chỉ triển khai cơ chế sao lưu dữ liệu sẽ không đủ để bảo vệ doanh nghiệp, đặc biệt khi phần lớn các nhóm mã độc tống tiền hiện nay đều sử dụng chiến thuật 'tống tiền kép' (double extortion) - tức vừa mã hóa dữ liệu, vừa đe dọa phát tán thông tin nhạy cảm".
Phân tích sâu hơn về đối tượng mục tiêu, ông Adrian Hia, Giám đốc Điều hành khu vực Châu Á - Thái Bình Dương của Kaspersky, đánh giá các doanh nghiệp SMB thường thiếu nguồn lực để duy trì đội ngũ chuyên trách về an ninh mạng hoặc quản lý bản vá một cách toàn diện, khiến họ dễ trở thành "con mồi" béo bở.
Hơn thế nữa, tin tặc thường coi các doanh nghiệp vừa và nhỏ này như một bàn đạp trung gian để tấn công sâu hơn vào chuỗi cung ứng của các tập đoàn lớn hơn, lợi dụng mối quan hệ đối tác tin cậy để mở rộng phạm vi phá hoại. Vì vậy, việc đầu tư an ninh mạng phù hợp với nguồn lực vận hành là yêu cầu cấp thiết để duy trì hiệu quả lâu dài.
Để phòng thủ, Kaspersky khuyến nghị các doanh nghiệp thực hiện các giải pháp sau:
Cập nhật phần mềm liên tục: Ngăn chặn tin tặc khai thác các lỗ hổng bảo mật để thâm nhập hệ thống.
Xây dựng chiến lược phòng thủ nhiều lớp: Chú trọng phát hiện hành vi di chuyển ngang và tuồn dữ liệu ra ngoài, đồng thời thiết lập bản sao lưu ngoại tuyến độc lập.
Ứng dụng giải pháp chuyên biệt: Triển khai các công cụ chống APT và EDR để phát hiện và xử lý sớm sự cố.
Chuẩn bị kịch bản ứng phó: Thiết lập kế hoạch phản ứng khẩn cấp bao gồm cả kịch bản bị tấn công qua chuỗi cung ứng, sẵn sàng ngắt kết nối với nhà cung cấp khi phát hiện dấu hiệu bất thường.
