Tin tức 
Thông tin Coin 
Về chúng tôi 
Các cuộc tấn công *ransomware* đang bước vào giai đoạn “bùng nổ về số lượng”, nhưng số tiền mà hacker thực sự thu về từ tiền mã hóa lại có xu hướng giảm. Sự trái ngược này cho thấy dù việc tấn công ngày càng rẻ và dễ, cạnh tranh giữa các nhóm tội phạm gia tăng, trong khi *quy định* và *trấn áp* với dòng tiền bất hợp pháp ngày càng chặt chẽ, khiến mô hình kiếm tiền từ *ransomware* nhanh chóng mất dần sức hấp dẫn.
Theo báo cáo mới nhất do công ty phân tích chuỗi khối Chainalysis công bố ngày 24 (giờ địa phương), tổng số cuộc tấn công *ransomware* trong năm 2025 tăng tới 50% so với năm trước, lên khoảng 8.000 vụ trên toàn cầu. Con số này cho thấy *ransomware* vẫn là “ngành kinh doanh chủ lực” trong hệ sinh thái tội phạm mạng. Tuy nhiên, dữ liệu on-chain mà Chainalysis theo dõi cho thấy số tiền chuộc thực tế mà tội phạm thu về từ tiền mã hóa lại đi theo chiều ngược lại.
Theo Chainalysis, tổng số tiền chuộc mà các nhóm *ransomware* nhận được trong năm 2025 chỉ đạt khoảng 820 triệu USD, giảm 8% so với năm 2024. Nói cách khác, kẻ tấn công phải “làm nhiều hơn nhưng kiếm ít hơn”. *bình luận* Sự dịch chuyển này phản ánh rõ tác động của chính sách: cuộc chơi vẫn đông người tham gia, nhưng biên lợi nhuận của tội phạm đang bị bào mòn.
Báo cáo lý giải, việc sụt giảm *doanh thu tiền mã hóa* từ *ransomware* đến từ hai nhóm yếu tố chính. Thứ nhất là khung *quy định tài chính* ngày càng siết chặt, kéo theo hoạt động *chống rửa tiền* và *truy vết on-chain* của cơ quan thực thi pháp luật được nâng cấp. Các mạng lưới, sàn giao dịch và dịch vụ trung gian từng được sử dụng để “rửa” tiền mã hóa đang chịu áp lực mạnh, khiến quá trình biến tiền chuộc thành tiền sạch trở nên rủi ro và phức tạp hơn nhiều. Thứ hai, phía nạn nhân – đặc biệt là doanh nghiệp lớn – cũng thay đổi chiến lược: nhiều công ty công khai tuyên bố không trả tiền chuộc, đầu tư mạnh hơn vào hệ thống sao lưu và khôi phục, khiến việc đe dọa để ép trả tiền chuộc không còn dễ như trước.
Khi các tập đoàn lớn đóng “hầu bao” và củng cố năng lực ứng phó, các nhóm *ransomware* bắt đầu chuyển hướng sang những mục tiêu nhỏ hơn. Chainalysis ghi nhận, năm 2025 chứng kiến dòng tấn công đổ dồn vào doanh nghiệp nhỏ và vừa, những tổ chức có hệ thống bảo mật yếu hơn và quy trình ra quyết định đơn giản hơn. Chuyên gia phân tích tội phạm mạng Thụy Sĩ Corsin Camichel, nhà sáng lập eCrime.ch, được Chainalysis dẫn lời cho biết “các nạn nhân nhỏ hơn thường trả tiền nhanh hơn”. Điều này giúp kẻ tấn công rút ngắn thời gian thương lượng, tăng tốc độ thu hồi tiền chuộc bằng *tiền mã hóa*.
Dù vậy, vấn đề là “kích thước của miếng bánh”. Với doanh nghiệp nhỏ và vừa, số tiền có thể chi trả cho một lần tống tiền thường không lớn. Chiến lược “đánh nhiều, ăn ít” giúp tội phạm tăng số vụ tấn công nhưng lại kéo giảm mức lợi nhuận trung bình trên mỗi vụ. Chainalysis chỉ ra khoảng cách ngày càng lớn giữa số vụ tấn công được công bố (thông báo rò rỉ dữ liệu, đăng bài đe dọa trên các trang *leak*) và tổng số tiền chuộc thực tế chảy vào ví của kẻ tấn công. Nói cách khác, các nhóm *ransomware* ngày càng “khoe thành tích” nhiều hơn, nhưng dòng tiền mã hóa thật sự nhận được đang giảm. *bình luận* Đây là tín hiệu cho thấy mô hình “đánh nhanh, trúng nhỏ” đang bào mòn hiệu quả kinh tế của *ransomware*, dù bề ngoài con số vụ việc vẫn tăng.
Ở chiều ngược lại, rào cản gia nhập thị trường *ransomware* lại đang thấp đi trông thấy, góp phần đẩy số vụ tấn công tăng vọt. Theo phân tích của Chainalysis, mức giá trung bình mà tội phạm phải bỏ ra để mua “quyền truy cập” vào hệ thống nạn nhân trên *dark web* đã giảm mạnh. Nếu như đầu năm 2023, một gói quyền truy cập có giá khoảng 1.427 USD, thì đến đầu năm 2026 chỉ còn khoảng 439 USD. Chi phí xâm nhập giảm sâu khiến nhiều nhóm mới, kể cả những tay nghiệp dư, đổ xô tham gia. Hệ quả là “cung” tội phạm quá dồi dào so với lượng nạn nhân có khả năng và sẵn sàng trả tiền, kéo theo sức ép giảm “giá” tiền chuộc.
Cùng với đó, các công cụ dựa trên *trí tuệ nhân tạo* và phần mềm tấn công “đóng gói sẵn” ngày càng phổ biến, giúp cả những người ít kỹ năng cũng có thể triển khai chiến dịch *ransomware* với chi phí thấp. Thị trường *ransomware-as-a-service* phát triển khiến các tác nhân tấn công chỉ cần mua hoặc thuê bộ công cụ, không cần tự viết mã độc từ đầu. Khi số lượng “người bán” (tội phạm) tăng nhanh còn số “người mua bắt buộc” (nạn nhân có khả năng trả tiền chuộc) không tăng tương ứng, quy luật thị trường đơn giản là *giá* – tức số tiền chuộc bằng tiền mã hóa – sẽ bị kéo xuống.
Tuy nhiên, việc *ransomware* kiếm ít tiền hơn không có nghĩa là tội phạm *tiền mã hóa* nói chung đang suy yếu. Theo hãng bảo mật CertiK, chỉ riêng trong tháng 1 năm 2026, tổng thiệt hại từ các vụ tấn công *hacking*, *lừa đảo* và khai thác lỗ hổng trong lĩnh vực tiền mã hóa đã lên tới khoảng 370,3 triệu USD. Con số này cho thấy, dù một mảng như *ransomware* có chững lại về doanh thu, toàn bộ hệ sinh thái tội phạm tài chính dựa trên tiền mã hóa vẫn tiếp tục mở rộng.
Đáng chú ý, *phishing* (giả mạo, lừa người dùng tự cung cấp thông tin hoặc ký giao dịch độc hại) chiếm phần lớn thiệt hại. CertiK ước tính khoảng 311,3 triệu USD – tương đương gần 84% tổn thất trong tháng 1 – xuất phát từ các chiến dịch *phishing*. Chỉ riêng một nạn nhân đã bị lừa mất khoảng 284 triệu USD trong một vụ lừa đảo *social engineering*, khi kẻ tấn công khai thác điểm yếu tâm lý và quy trình nội bộ để chiếm quyền kiểm soát tài sản. *bình luận* Dữ liệu này cho thấy trục trọng tâm của tội phạm tiền mã hóa đang dịch chuyển từ tấn công thuần kỹ thuật sang việc khai thác con người và quy trình – nơi “mắt xích yếu nhất” vẫn là người dùng cuối.
Đối với thị trường, sự gia tăng các vụ tấn công *ransomware* không chỉ là câu chuyện về an ninh mạng thuần túy, mà còn đặt ra thách thức lớn cho niềm tin vào các hạ tầng trọng yếu như sàn giao dịch, cầu nối (*bridge*), ví lưu trữ và các giao thức *DeFi*. Mọi vụ việc lớn đều có nguy cơ kéo theo điều tra, đóng băng tài sản, gia tăng yêu cầu *KYC/AML* và làm siết lại không gian hoạt động của toàn bộ ngành *tiền mã hóa*.
Trong bối cảnh chi phí tấn công giảm, công cụ tấn công được “dân chủ hóa” và dòng tiền bất hợp pháp ngày càng linh hoạt, nhiều chuyên gia cảnh báo năm 2026 có thể chứng kiến không chỉ sự gia tăng về số lượng của *ransomware*, mà còn là sự “đa dạng hóa” của các mô hình tội phạm dựa trên *tiền mã hóa* – từ *phishing*, lừa đảo đa cấp, chiếm đoạt khóa riêng tư, đến tấn công cầu nối và các giao thức mới. *bình luận* Sự kết hợp giữa áp lực pháp lý, cạnh tranh nội bộ tội phạm và đổi mới công nghệ có thể đang định hình lại toàn bộ “mô hình kinh doanh” của tội phạm tiền mã hóa: ít dựa vào một kênh như *ransomware*, nhưng lan sang nhiều dạng khai thác khác nhau, tinh vi hơn và khó kiểm soát hơn đối với nhà quản lý lẫn nhà đầu tư.
Trong bức tranh đó, *ransomware* có thể không còn là mỏ vàng như giai đoạn đầu, nhưng lại trở thành một trong nhiều mắt xích trong hệ sinh thái tội phạm xoay quanh *tiền mã hóa*, nơi số vụ tấn công nhiều hơn, giá trị trung bình mỗi vụ nhỏ hơn, nhưng rủi ro tổng thể với hệ sinh thái vẫn không ngừng gia tăng.
Bình luận 0