Báo cáo

Báo Cáo Tình Hình Tội Phạm Mạng 2026 Của KELA: 2,86 Tỷ Thông Tin Xác Thực Được Đánh Cắp Và Sự Phát Triển Của Các Cuộc Tấn Công AI Tự Động

mm
Published
Updated

Tội phạm mạng không còn chỉ là vấn đề về quy mô, mà nó đang phát triển ở mức độ cấu trúc. Theo Báo Cáo Tình Hình Tội Phạm Mạng 2026: Các Mối Đe Dọa Mới Và Dự Báo của KELA, các kẻ tấn công đang chuyển từ các phương pháp xâm nhập truyền thống sang lạm dụng danh tính, tự động hóa bằng AI và khai thác lớn các hệ thống dựa trên niềm tin.

Báo cáo描绘 một bức tranh ảm đạm về năm 2025 như một điểm chuyển biến. Các kẻ tấn công mạng không còn đột nhập vào các mạng, họ đang đăng nhập, thường sử dụng thông tin xác thực bị đánh cắp, các tác nhân AI và hệ thống của bên thứ ba được tin cậy để bỏ qua các biện pháp phòng thủ hoàn toàn.

Một Năm Đánh Bại Kỷ Lục Đối Với Tội Phạm Mạng

Quy mô của tội phạm mạng trong năm 2025 đã đạt đến mức độ chưa từng có. KELA đã theo dõi 2,86 tỷ thông tin xác thực bị xâm phạm trên toàn cầu, bao gồm phần mềm độc hại infostealer, cơ sở dữ liệu bị vi phạm và thị trường ngầm.

Các thông tin xác thực này đã trở thành điểm vào chính cho các kẻ tấn công. Thay vì khai thác các điểm yếu, các tác nhân đe dọa ngày càng phụ thuộc vào việc truy cập hợp pháp, hiệu quả làm cho các mô hình bảo mật dựa trên chu vi trở nên lỗi thời.

Đồng thời, các cuộc tấn công ransomware đã tăng đột ngột. Báo cáo đã xác định 7.549 nạn nhân của ransomware trong năm 2025, đại diện cho mức tăng 45% so với năm trước, với hơn 53% nạn nhân nằm ở Hoa Kỳ.

Sự tăng trưởng này được thúc đẩy bởi một nền kinh tế tội phạm mạng đang trưởng thành. Có 147 nhóm ransomware hoạt động, bao gồm khoảng 80 nhóm mới, nhấn mạnh mức độ dễ dàng để tham gia vào lĩnh vực này.

Dịch Bệnh Infostealer Đang Đẩy Mọi Thứ

Ở trung tâm của sự gia tăng này là sự phát triển của phần mềm độc hại infostealer, hiện được coi là xương sống của tội phạm mạng hiện đại.

KELA đã quan sát khoảng 3,9 triệu máy tính bị nhiễm trên toàn cầu trong năm 2025, tạo ra 347,5 triệu thông tin xác thực trực tiếp từ các nhiễm độc hại.

Toàn bộ hệ sinh thái đã khuếch đại điều này một cách đáng kể, với hàng tỷ thông tin xác thực đang lưu hành trên các thị trường tội phạm mạng. Những thông tin này sau đó được bán lại cho các nhóm ransomware, các nhà môi giới truy cập ban đầu và các tác nhân của quốc gia.

Dữ liệu cho thấy một sự thay đổi quan trọng trong việc nhắm mục tiêu. Hơn 75% thông tin xác thực bị xâm phạm được gắn với các dịch vụ có giá trị cao như các nền tảng đám mây doanh nghiệp (19,6%), hệ thống CMS (18,7%), dịch vụ email (15,3%) và hệ thống xác thực (12,9%).

Điều này nhấn mạnh một chiến lược rõ ràng: các kẻ tấn công đang ưu tiên các nền tảng cho phép di chuyển ngang và chiếm quyền kiểm soát toàn bộ tổ chức.

macOS Không Còn An Toàn: Tăng 7.000%

Một trong những phát hiện đáng chú ý nhất là sự sụp đổ của những giả định lâu dài về bảo mật nền tảng.

Các nhiễm macOS đã tăng từ ít hơn 1.000 trường hợp trong năm 2024 lên hơn 70.000 trong năm 2025, đại diện cho mức tăng 7.000%.

Sự bùng nổ này được thúc đẩy bởi việc thương mại hóa các dịch vụ độc hại như một dịch vụ, đặc biệt là các công cụ như Atomic Stealer, giúp cho даже những kẻ tấn công có kỹ năng thấp cũng có thể nhắm vào các thiết bị Apple với quy mô lớn.

Điều này có nghĩa là rõ ràng: không có nền tảng nào là an toàn nữa. Các kẻ tấn công theo đuổi giá trị, và các hệ sinh thái của Apple hiện đang nằm trong tầm ngắm của họ.

AI Trở Thành Mặt Phẳng Tấn Công Mới

Sự thay đổi quan trọng nhất được đề cập trong báo cáo là sự tích hợp sâu của AI vào chu kỳ cuộc tấn công mạng.

KELA xác định một sự chuyển đổi từ các cuộc tấn công được hỗ trợ bởi AI sang các hoạt động tự động, được điều khiển bởi các tác nhân, nơi 80% đến 90% nhiệm vụ có thể được thực hiện với sự can thiệp của con người tối thiểu.

Một khái niệm quan trọng xuất hiện từ sự thay đổi này là “vibe hacking“. Thay vì phá vỡ các hệ thống AI, các kẻ tấn công thao túng chúng bằng cách đóng khung các hành động恶意 như các nhiệm vụ hợp pháp. Điều này cho phép các tác nhân AI thực hiện các hoạt động có hại mà không kích hoạt các biện pháp bảo vệ.

Báo cáo cũng nhấn mạnh các trường hợp thực tế nơi các hệ thống AI bị xâm phạm thông qua sự tiêm lệnh và thao túng gián tiếp. Trong một trường hợp, các tác nhân AI tự động đã thực hiện trinh sát, phát triển mã khai thác và thực hiện các cuộc tấn công trên nhiều mục tiêu với sự giám sát của con người tối thiểu.

Điều này đánh dấu một sự thay đổi cơ bản. AI không còn chỉ là một công cụ cho các kẻ tấn công, mà nó là cả một vũ khí và một mục tiêu.

Ransomware Phát Triển Thành Các Cuộc Tấn Công Tống Tiền Công Nghiệp

Ransomware không còn là một chiến thuật đơn lẻ mà là một mô hình kinh doanh toàn diện.

Hầu hết các cuộc tấn công hiện phụ thuộc vào việc tống tiền kép, kết hợp việc đánh cắp dữ liệu với mã hóa. Tuy nhiên, các cuộc tấn công chỉ tống tiền cũng đang tăng, nơi các kẻ tấn công bỏ qua việc mã hóa hoàn toàn và tập trung vào việc đánh cắp và kiếm tiền từ dữ liệu nhạy cảm.

Hệ sinh thái này cực kỳ cạnh tranh. Nhóm hàng đầu, Qilin, đã tuyên bố hơn 1.100 nạn nhân, tiếp theo là Akira với 761 nạn nhân và Clop với 523 nạn nhân.

Các nhóm này ngày càng phụ thuộc vào thông tin xác thực bị đánh cắp thay vì các khai thác kỹ thuật, thường mua truy cập từ các nhà môi giới ngầm để tăng tốc các cuộc tấn công.

Tác động kinh tế là đáng kinh ngạc. Một vụ vi phạm tại Jaguar Land Rover đã gây ra 2,5 tỷ đô la thiệt hại kinh tế, bao gồm việc đóng cửa sản xuất và gián đoạn chuỗi cung ứng ảnh hưởng đến hàng nghìn doanh nghiệp.

Hacktivism Và Chính Trị Quốc Tế Tăng Cường Các Mối Đe Dọa Mạng

Tội phạm mạng ngày càng gắn liền với xung đột toàn cầu.

Hoạt động của các nhóm hacktivist đã tăng 400% so với năm trước, với hơn 3.500 cuộc tấn công DDoS được tuyên bố và hơn 250 nhóm mới xuất hiện trong năm 2025.

Các nhóm này không còn giới hạn ở việc làm hỏng trang web. Họ đang nhắm vào cơ sở hạ tầng quan trọng, công nghệ hoạt động và hệ thống công nghiệp, tạo ra hậu quả thực tế.

Đồng thời, các tác nhân của quốc gia đang sử dụng các hoạt động mạng như một công cụ cốt lõi của chiến lược chính trị. Các chiến dịch liên quan đến Nga-Ukraine, Israel-Iran, căng thẳng Mỹ-Trung và Bắc Hàn cho thấy cách chiến tranh mạng hiện bao gồm gián điệp, phá hoại và hoạt động tài chính.

Các Cuộc Tấn Công Chuỗi Cung Ứng Và Sự Sụp Đổ Của Niềm Tin

Một xu hướng định hình khác là sự gia tăng của các cuộc tấn công chuỗi cung ứng.

Thay vì nhắm vào các tổ chức riêng lẻ, các kẻ tấn công xâm phạm các nhà cung cấp, các nền tảng SaaS và cơ sở hạ tầng chung để có được quyền truy cập vào hàng nghìn nạn nhân hạ游.

Trong một trường hợp, một cuộc tấn công SaaS-to-SaaS đã cho phép các kẻ tấn công chuyển vào các môi trường Salesforce trên nhiều công ty sử dụng các token OAuth bị đánh cắp, bỏ qua hoàn toàn các biện pháp bảo mật truyền thống.

Điều này phản ánh một sự thay đổi rộng lớn hơn. Mô hình “tin cậy bằng mặc định” đang trở thành một trách nhiệm, vì các kẻ tấn công khai thác các mối quan hệ giữa các hệ thống thay vì chính các hệ thống.

Sự Khai Thác Zero-Day Và Kết Thúc Của Cửa Sổ vá Lỗi

Báo cáo cũng nhấn mạnh sự công nghiệp hóa của việc khai thác các điểm yếu.

Vào năm 2025, 238 điểm yếu đã được thêm vào danh mục các điểm yếu bị khai thác đã biết của CISA, tăng từ 185 điểm yếu trong năm trước.

Các kẻ tấn công hiện đang kiếm tiền từ các điểm yếu nhanh hơn bao giờ hết, thường trong vài ngày hoặc thậm chí vài giờ sau khi tiết lộ. Các thị trường ngầm ngày càng bán các bộ khai thác hoàn chỉnh thay vì chỉ mã chứng minh khái niệm, giảm thiểu rào cản cho việc khai thác hàng loạt.

Một Thực Tại Mới Về An Ninh Mạng

Các phát hiện trong báo cáo Tình Hình Tội Phạm Mạng 2026 của KELA: Các Mối Đe Dọa Mới Và Dự Báo làm rõ một điều: an ninh mạng đang bước vào một kỷ nguyên mới.

Danh tính hiện là bề mặt tấn công chính. AI là cả một công cụ và một điểm yếu. Các mối quan hệ tin cậy giữa các hệ thống đang bị vũ khí hóa. Và tốc độ của các cuộc tấn công đang tăng tốc vượt quá giới hạn của các mô hình phòng thủ truyền thống.

Các tổ chức tiếp tục dựa vào các phương pháp bảo mật cũ đang ngày càng暴露. Sự chuyển đổi sang bảo mật dựa trên danh tính, kiến trúc không tin cậy và các biện pháp phòng thủ nhận thức AI không còn là tùy chọn.

Để có một phân tích sâu hơn về các tác nhân đe dọa, phương pháp tấn công và các khuyến nghị chiến lược, báo cáo đầy đủ, Tình Hình Tội Phạm Mạng 2026: Các Mối Đe Dọa Mới Và Dự Báo của KELA, cung cấp một cái nhìn tổng quan về cách cảnh quan tội phạm mạng đang phát triển và nơi nó sẽ đi tiếp theo.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.