Nội gián - “mũi đột phá” mới của tội phạm mạng

Số vụ tấn công bằng mã độc tống tiền đã tăng tháng thứ tư liên tiếp trong tháng 12 năm 2025, tăng 13% lên tổng cộng 783 vụ

Đáng chú ý, các nhóm ransomware-as-a-service (RaaS) đang tích cực tìm cách tuyển mộ những “nội gián độc hại”, bao gồm nhân viên, nhà thầu và thậm chí cả chuyên gia an ninh mạng. Thay vì chỉ khai thác lỗ hổng kỹ thuật, tội phạm mạng ngày càng coi con người là mắt xích yếu nhất trong chuỗi phòng thủ.

Theo NCC Group, việc chiêu mộ người nội bộ mang lại cho tin tặc lợi thế lớn: quyền truy cập hợp pháp vào hệ thống, thông tin đăng nhập và hiểu biết sâu về quy trình vận hành. Chỉ cần một tài khoản có đặc quyền bị lạm dụng, kẻ tấn công có thể nhanh chóng mở rộng quyền kiểm soát trong toàn bộ hạ tầng CNTT của tổ chức.

Động lực chính thúc đẩy xu hướng này là yếu tố tài chính. Các băng nhóm ransomware sẵn sàng đưa ra mức hoa hồng hấp dẫn và cam kết giữ kín danh tính để khuyến khích hợp tác. Một ví dụ được nêu trong báo cáo là vào tháng 9/2025, nhóm Medusa đã tiếp cận một nhân viên của BBC, đề nghị chia 15% tiền chuộc để đổi lấy quyền truy cập hệ thống nội bộ. Khi bị từ chối, mức đề nghị được nâng lên 25%, cho thấy giá trị chiến lược mà các nhóm này đặt vào nguồn thông tin từ bên trong.

Không chỉ nhắm tới nhân viên phổ thông, tội phạm mạng còn mở rộng sang các chuyên gia bảo mật. Trong tháng 12/2025, hai chuyên gia an ninh mạng đã nhận tội hợp tác với nhóm BlackCat/ALPHV, thừa nhận tham gia vào nhiều cuộc tấn công nhằm vào các tổ chức tại Mỹ, bao gồm lĩnh vực y tế và sản xuất. Đây được xem là một trong những trường hợp đầu tiên được ghi nhận, nơi các chuyên gia an ninh sử dụng kiến thức chuyên môn để trực tiếp hỗ trợ hoạt động ransomware.

Theo ông Matt Hull, Phó Chủ tịch phụ trách Tình báo và Ứng phó An ninh mạng tại NCC Group, ransomware hiện đã phát triển thành một mô hình kinh doanh có tổ chức, nơi các nhóm tội phạm suy nghĩ về “tuyển dụng, khuyến khích, mở rộng và tăng trưởng”, tương tự như doanh nghiệp hợp pháp. Việc nhắm tới các thương hiệu lớn còn mang ý nghĩa xây dựng “danh tiếng ngầm”, giúp chúng thu hút thêm đối tác và nguồn lực trong tương lai.

Xu hướng này buộc các tổ chức phải thay đổi cách tiếp cận an ninh mạng. Thay vì chỉ tập trung vào phòng thủ kỹ thuật, doanh nghiệp cần chú trọng quản lý rủi ro con người thông qua kiểm soát truy cập chặt chẽ, chương trình phát hiện mối đe dọa nội bộ, đào tạo nhận thức an ninh và quy trình thôi việc an toàn.

Khi ransomware ngày càng “chuyên nghiệp hóa”, ranh giới giữa tấn công công nghệ và thao túng con người trở nên mờ nhạt. Trong làn sóng đe dọa mới, khả năng bảo vệ hệ thống không chỉ phụ thuộc vào tường lửa hay phần mềm bảo mật, mà còn phụ thuộc vào cách doanh nghiệp quản trị niềm tin và đạo đức trong chính đội ngũ của mình.

Theo automation.com