Tiền chuộc ransomware bằng tiền mã hóa giảm năm thứ hai liên tiếp dù số vụ tấn công lập kỷ lục

Ransomware đang tấn công ở *mức kỷ lục*, nhưng tổng số tiền *tiền mã hóa* thực tế được dùng để trả tiền chuộc lại giảm năm thứ hai liên tiếp. Tin mới nhất cho thấy các nhóm tấn công yêu cầu khoản tiền lớn hơn, song doanh nghiệp và tổ chức ngày càng có xu hướng từ chối thanh toán, khiến “nền kinh tế ransomware” kém hấp dẫn hơn về mặt lợi nhuận.

Theo hãng phân tích dữ liệu chuỗi khối Chainalysis, tổng giá trị thanh toán liên quan ransomware ghi nhận *on-chain* trong năm 2025 vào khoảng 820 triệu USD (tương đương khoảng 1,1758 nghìn tỷ đồng), giảm khoảng 8% so với năm trước. Ngược lại, số vụ nạn nhân báo cáo hoặc nhóm tin tặc tự nhận đã tấn công lại tăng tới khoảng 50%. Nói cách khác, số cuộc tấn công phình to, nhưng lượng *tiền mã hóa* thực sự được chuyển đi để trả tiền chuộc lại đi xuống.

Theo The Defiant đưa tin ngày 24 (giờ địa phương), diễn biến này cho thấy vòng quay doanh thu của nền kinh tế ransomware đã bắt đầu “hụt hơi”, dù hoạt động tấn công ngày càng dày đặc và tinh vi hơn.

**Tiền chuộc tổng thể giảm, nhưng “ai đã trả” thì trả nhiều tiền hơn**

Điểm thay đổi rõ nhất nằm ở câu hỏi: nạn nhân *trả bao nhiêu tiền* nếu họ chấp nhận thanh toán. Năm 2025, mức tiền chuộc *trung vị* (median) mà nạn nhân thực sự trả cho các băng nhóm ransomware vào khoảng 60.000 USD (khoảng 860,6 triệu đồng). Con số này cao hơn tới 368% so với năm 2024, khi trung vị chỉ khoảng 12.700 USD (khoảng 182,1 triệu đồng).

Việc *trung vị* – chứ không phải *trung bình* – tăng vọt được giới phân tích xem là dấu hiệu xuất hiện nhiều hơn những khoản thanh toán “cỡ lớn”, kéo toàn bộ phân bố chi trả đi lên. Nói cách khác, tổng dòng tiền chuộc bằng *tiền mã hóa* giảm đi, nhưng những nạn nhân đã trả thì lại có xu hướng trả khoản tiền cao hơn đáng kể.

*bình luận* Số vụ tấn công nhỏ lẻ, yêu cầu vài nghìn hoặc vài chục nghìn USD và bị từ chối, nhiều khả năng đang tăng mạnh. Song song, một số ít nạn nhân rơi vào thế “không thể không trả” đã chấp nhận nhượng bộ ở mức tiền rất cao, từ đó làm méo phân bố số liệu.

Jackie Koven, phụ trách mảng tình báo mối đe dọa mạng tại Chainalysis, nhận định trong cuộc phỏng vấn với The Defiant rằng cú nhảy vọt của mức trung vị khó có thể giải thích bằng các yếu tố thị trường như giá Bitcoin(BTC). Bà cho biết nhiều nhóm ransomware thường ấn định mức yêu cầu bằng đơn vị pháp định như USD, rồi quy đổi sang *tiền mã hóa* tại thời điểm thanh toán.

Koven nói: “Ví dụ, nếu chúng yêu cầu 1 triệu USD thì giá Bitcoin(BTC) là 1 triệu USD hay 10.000 USD cũng không quan trọng. Điều cốt lõi nằm ở mốc 1 triệu USD đã được cố định trên danh nghĩa tiền pháp định”. Bà cũng cho rằng mức trung vị tăng chưa chắc phản ánh việc các băng nhóm quay lại chiến lược “big game hunting” – chuyên nhắm vào các tập đoàn lớn – mà có thể chủ yếu đến từ một số giao dịch thanh toán “dị thường”, cực kỳ cao.

**Tỷ lệ chấp nhận trả tiền chuộc chỉ còn 28% – mức thấp nhất trong lịch sử thống kê**

Chainalysis ước tính chỉ khoảng 28% nạn nhân ransomware trong năm 2025 thực sự trả tiền chuộc cho kẻ tấn công. Đây là tỷ lệ thấp nhất từ trước tới nay trong dữ liệu mà hãng theo dõi. Trong báo cáo, Chainalysis nhận định xu hướng này là “một chiến thắng quan trọng” đối với cộng đồng an ninh mạng.

Báo cáo phân tích: khi nạn nhân *trả ít hơn*, các nhóm tấn công phải thực hiện *nhiều vụ tấn công hơn* để thu về cùng một khoản lợi nhuận. Điều này bào mòn biên lợi nhuận, đẩy rủi ro gia tăng so với phần thưởng, từ đó làm suy yếu động lực kinh tế đứng sau các chiến dịch ransomware.

*bình luận* Ở góc độ “kinh tế học tội phạm”, ransomware chỉ tiếp tục nở rộ nếu chi phí (tổ chức tấn công, ẩn giấu dấu vết, rửa *tiền mã hóa*) thấp hơn đáng kể so với lợi ích (tiền chuộc thu được). Xu hướng nhiều nạn nhân kiên quyết không trả đã bắt đầu nắn lại phương trình lợi ích – chi phí này.

Các chuyên gia cho rằng sự thay đổi có được là nhờ nhiều yếu tố cộng hưởng, gồm:

- Doanh nghiệp chú trọng hơn đến hệ thống sao lưu và khôi phục dữ liệu, giúp giảm phụ thuộc vào dữ liệu bị mã hóa.

- Điều kiện bảo hiểm an ninh mạng thay đổi, nhiều hợp đồng hạn chế hoặc siết chặt quy trình chấp nhận thanh toán tiền chuộc.

- Hướng dẫn, quy trình đàm phán và phản ứng khi bị ransomware tấn công được phổ biến rộng rãi, giúp tổ chức biết cách kéo dài thời gian, thương lượng hoặc từ chối.

- Cơ quan thực thi pháp luật tăng cường truy vết dòng *tiền mã hóa*, phong tỏa ví, gây khó cho việc rút tiền chuộc và rửa tiền.

Dù vậy, tỷ lệ trả tiền chuộc giảm không đồng nghĩa với việc mức độ nguy hiểm của ransomware đã hạ nhiệt. Chainalysis ghi nhận số cuộc tấn công vẫn tăng, một số vụ gây thiệt hại kinh tế – xã hội ở quy mô lớn, ảnh hưởng kéo dài đến chuỗi cung ứng và hạ tầng thiết yếu.

**Những vụ “siêu to khổng lồ” vẫn nối tiếp: từ sản xuất, tài chính đến hạ tầng trọng yếu**

Năm 2025 tiếp tục chứng kiến nhiều vụ tấn công ransomware được đánh giá là “tác động cao”. Theo Chainalysis, cuối tháng 8, hãng sản xuất ô tô Jaguar Land Rover phải tạm dừng sản xuất tại nhiều quốc gia sau một vụ tấn công mạng quy mô lớn. Thiệt hại được ước tính lên tới 2,5 tỷ USD (khoảng 3,5858 nghìn tỷ đồng), được xem là một trong những sự cố an ninh mạng đắt đỏ nhất trong lịch sử nước Anh.

Khối bán lẻ và y tế cũng chịu tổn thất nặng nề. Tập đoàn bán lẻ Marks & Spencer có trụ sở tại Anh được cho là đã gặp sự cố gián đoạn dịch vụ kéo dài sau khi trở thành nạn nhân của nhóm “Scattered Spider”, một cái tên quen thuộc trong giới tấn công ransomware. Ở lĩnh vực y tế, tập đoàn chăm sóc sức khỏe DaVita báo cáo hơn 2,7 triệu hồ sơ bệnh nhân bị lộ dữ liệu, làm dấy lên lo ngại về an toàn thông tin nhạy cảm.

Xét theo khu vực, Mỹ vẫn là “đích ngắm” lớn nhất của các nhóm ransomware, tiếp theo là Canada, Đức và Anh. Về ngành nghề, báo cáo của Chainalysis cho thấy các cuộc tấn công gia tăng rõ rệt trong lĩnh vực sản xuất, tài chính, chuỗi cung ứng và hạ tầng thiết yếu (critical infrastructure) – những nơi chỉ một lần gián đoạn cũng đủ gây thiệt hại dây chuyền trên diện rộng.

*bình luận* Các ngành có hoạt động liên tục, thời gian chết cực kỳ đắt đỏ – như sản xuất công nghiệp, logistics, tài chính, y tế – thường chịu áp lực lớn hơn trong việc nhanh chóng khôi phục hệ thống. Điều này khiến chúng trở thành mục tiêu yêu thích của tội phạm ransomware, bất chấp xu hướng chung là tỷ lệ chấp nhận trả tiền chuộc đang giảm.

**Khi “thành công” của ransomware không chỉ đo bằng *tiền mã hóa* nhận được**

Chainalysis cảnh báo định nghĩa “thành công” của một chiến dịch ransomware đang dịch chuyển. Nếu trước đây mục tiêu đầu tiên là *ép nạn nhân trả tiền*, thì hiện nay kẻ tấn công ngày càng chú trọng hơn tới việc:

- Làm tê liệt dịch vụ trong thời gian dài;

- Đánh cắp, rao bán hoặc tung dữ liệu nhạy cảm;

- Thực hiện tấn công tống tiền nhiều lần trên cùng một bộ dữ liệu (double extortion, triple extortion).

Trong bối cảnh đó, quy mô thanh toán on-chain giảm – dù là tín hiệu tích cực về mặt kinh tế tội phạm – không đủ để khẳng định mức độ đe dọa đã thuyên giảm. Ngược lại, kịch bản các băng nhóm vừa tăng số vụ tấn công, vừa “nâng trần” yêu cầu tiền chuộc và săn tìm những con mồi có khả năng trả khoản tiền cực lớn vẫn hoàn toàn có thể xảy ra.

*bình luận* Với việc các cơ quan chức năng ngày càng giỏi truy vết dòng *tiền mã hóa*, tội phạm ransomware đang có xu hướng đa dạng hóa phương thức gây sức ép, thay vì chỉ trông cậy vào mô hình “mã hóa dữ liệu – đòi tiền chuộc – nhận Bitcoin(BTC) – rửa tiền”. Trận chiến giữa công nghệ bảo mật, khung pháp lý và mô hình tấn công mới vì thế sẽ còn kéo dài, đặc biệt khi các nhóm tội phạm tiếp tục tận dụng *tiền mã hóa* như một công cụ thanh toán xuyên biên giới khó kiểm soát.