Toàn cảnh An ninh mạng 2025: Thách thức, xu hướng và bài học cốt lõi cho doanh nghiệp

Mới đây, trang bảo mật danh tiếng Intercede đã công bố báo cáo tổng kết tình hình an ninh mạng năm 2025 với những con số đáng báo động. Đáng chú ý, báo cáo này chỉ ra sự thay đổi lớn trong cách thức hacker hoạt động và xác nhận nhiều doanh nghiệp lớn, bao gồm cả các đối tác tại Việt Nam, đã trở thành nạn nhân của các cuộc tấn công chuỗi cung ứng.

Dưới đây là những điểm tin quan trọng mà IPSIP Việt Nam tổng hợp lại để doanh nghiệp Việt Nam chủ động phòng tránh.

• Quy mô tấn công: Cơ sở dữ liệu của Intercede đã ghi nhận thêm 1 tỷ thông tin xác thực bị lộ lọt trong năm 2025, nâng tổng số lên 11 tỷ.

• Xu hướng mới: Tội phạm mạng chuyển dịch mạnh từ diễn đàn (Forums) sang Telegram và sử dụng Stealer Logs (nhật ký phần mềm đánh cắp) để tấn công chính xác hơn.

• Sự kiện chấn động: Chiến dịch "Operation Spectral Tango" của FBI đã đánh sập BreachForums. Các vụ tấn công lớn nhắm vào Jaguar Land Rover và Salesforce (ảnh hưởng đến cả Vietnam Airlines).

• Lỗ hổng nghiêm trọng: 3 mã CVE nguy hiểm nhất năm là ToolShell, NVIDIAScape và React2Shell (điểm severity 10/10).

1. Bối cảnh An ninh mạng 2025

Năm 2025 đánh dấu một bước ngoặt khi bối cảnh đe dọa kỹ thuật số thay đổi với tốc độ chưa từng có. Áp lực từ các cơ quan thực thi pháp luật buộc tội phạm mạng phải trở nên ẩn mình và khó lường hơn.

Tại Intercede cho biết việc duy trì cơ sở dữ liệu vi phạm mật khẩu lớn nhất thế giới. Dữ liệu năm 2025 cho thấy:

• 1 tỷ thông tin xác thực mới được phát hiện.

• 376 triệu mật khẩu độc nhất chưa từng thấy trước đây.

• Tổng cộng 3,8 tỷ mật khẩu độc nhất hiện đang được theo dõi.

Góc nhìn chuyên gia: Việc gia tăng số lượng mật khẩu bị lộ cho thấy các phương thức xác thực truyền thống đang ngày càng mong manh. Các tổ chức cần chuyển dịch sang xác thực đa yếu tố (MFA) hoặc không mật khẩu (Passwordless) ngay lập tức.

2. Xu hướng sử dụng Telegram và Stealer Logs để phát tán dữ liệu

Tội phạm mạng chia sẻ dữ liệu ở đâu trong năm 2025?

Diễn đàn (Forums): Từng là xương sống của hoạt động buôn bán dữ liệu ngầm từ đầu những năm 2000, các diễn đàn vẫn là nguồn tình báo chính vào đầu năm. Các nhóm như ShinyHunters và IntelBrokers là những cái tên nổi bật cho đến khi các vụ bắt giữ làm gián đoạn hoạt động của họ. Dù mức độ phổ biến giảm sút, diễn đàn vẫn có giá trị để hiểu về chiến thuật, công cụ và mục tiêu của hacker.

Telegram: Giữa năm 2025, Telegram vượt qua các diễn đàn để trở thành nền tảng số 1.

Lý do: Mã hóa đầu cuối, tính ẩn danh cao và khả năng kiếm tiền trực tiếp qua đăng ký (subscription) hoặc trả tiền để xem (pay-to-view). Thay vì các diễn đàn Dark Web truyền thống (vốn đang bị FBI và cảnh sát quốc tế truy quét gắt gao), tội phạm mạng đã chuyển sang Telegram. Tính năng ẩn danh và thanh toán tiện lợi của ứng dụng này đang biến nó thành chợ đen sôi động nhất.

Nhật ký Stealer (Stealer Logs): Thay vì tấn công hệ thống công ty, hacker nhắm vào thiết bị của chính nhân viên. Stealer Logs, được hỗ trợ bởi phần mềm độc hại được gọi là "infostealers", trích xuất dữ liệu nhạy cảm trực tiếp từ các thiết bị bị nhiễm như: tài liệu, ví tiền điện tử và quan trọng nhất là tệp tự động điền của trình duyệt (browser autofill). Các nhật ký này cung cấp thông tin xác thực cùng với URL, mang lại cho hacker độ chính xác gần như hoàn hảo để chiếm đoạt tài khoản (Account Takeover).

Đám mây Combolist (Combolist Clouds): "Combolists" (bộ sưu tập các cặp email/mật khẩu) được lưu trữ trên các trang web đám mây chuyên dụng đã bùng nổ trong năm nay. Khác với Diễn đàn hay Telegram, các nền tảng này thường bán toàn bộ tập dữ liệu thay vì các bản ghi riêng lẻ, cung cấp cho hacker một cách nhanh hơn, tự động hơn để kiếm tiền từ dữ liệu bị đánh cắp.

3. Chiến dịch Spectral Tango và sự can thiệp pháp lý vào các diễn đàn hacker

Năm 2025 là năm của các đợt truy quét quy mô lớn. Nổi bật nhất là Chiến dịch Spectral Tango do FBI dẫn đầu nhắm vào BreachForums - trung tâm mua bán dữ liệu lớn nhất thế giới, nơi từng lưu trữ lượng lớn dữ liệu rò rỉ của người dùng toàn cầu, bao gồm cả Việt Nam.

• Tháng 3/2025: Rò rỉ tài liệu cho thấy FBI đã thâm nhập BreachForums bằng kỹ thuật honeypot (hũ mật).

• Tháng 6/2025: Bắt giữ 4 quản trị viên và hacker khét tiếng IntelBroker.

• Tháng 8/2025: BreachForums chính thức bị kiểm soát bởi cảnh sát Pháp, mã nguồn bị sửa đổi để ghi lại hoạt động của người dùng.

Tại Việt Nam, các nhóm kín (Private Groups) trên Telegram đang trở thành kênh giao dịch dữ liệu chính thay thế cho diễn đàn. Điều này đặt ra thách thức lớn cho các đơn vị an ninh mạng trong nước (như A05 hay VNCERT/CC) vì cơ chế mã hóa của Telegram khiến việc theo dõi và ngăn chặn khó khăn hơn nhiều so với diễn đàn web truyền thống.

4. Top 3 Lỗ hổng bảo mật (CVE) nguy hiểm nhất 2025

5. Các vụ vi phạm dữ liệu lớn (Significant Breaches)

Jaguar Land Rover (JLR) - 31/8/2025

• Thủ phạm: Liên minh Scattered LAPSUS$ Hunters.

• Nguyên nhân: Một thông tin đăng nhập nhân viên bị đánh cắp từ Stealer Log.

• Hậu quả: Kẻ tấn công truy cập cơ sở dữ liệu kỹ thuật, buộc JLR phải đóng cửa nhiều nhà máy trong hơn 6 tuần. Chính phủ Anh phải phê duyệt khoản vay 1,5 tỷ bảng Anh để hỗ trợ thiệt hại tài chính.

Salesforce - Đầu tháng 10/2025

• Thủ phạm: Vẫn là nhóm Scattered LAPSUS$ Hunters.

• Quy mô: Tuyên bố đã trích xuất 989 triệu bản ghi từ 39 doanh nghiệp lớn (FedEx, Disney, Toyota, McDonald's...).

• Ảnh hưởng: Nhóm này đe dọa rò rỉ dữ liệu khách hàng nếu không trả tiền chuộc. Đáng chú ý, Vietnam Airlines là một trong những tổ chức bị ảnh hưởng, dẫn đến việc dữ liệu nhạy cảm bị công bố trực tuyến.

6. Định hướng chiến lược và Giải pháp bảo mật cho năm 2026

Dựa trên các xu hướng tấn công đã được ghi nhận trong năm 2025, các biện pháp phòng thủ chủ động như Xác thực đa yếu tố (MFA), kiểm tra uy tín IP và giới hạn địa lý (Geofencing) đã chứng minh được hiệu quả trong việc giảm thiểu tỷ lệ chiếm đoạt tài khoản.

Tuy nhiên, để đối phó với các mối đe dọa mới từ Telegram và mã độc đánh cắp thông tin (Infostealers), doanh nghiệp cần tập trung vào 4 giải pháp trọng tâm sau:

• Chuyển dịch sang xác thực không mật khẩu (Passwordless): Loại bỏ mật khẩu truyền thống, thay thế bằng FIDO2 hoặc Passkeys để ngăn chặn Phishing.

• Giám sát an ninh mạng (Threat Intelligence): Chủ động quét Dark Web và Telegram để phát hiện sớm nếu thông tin nhân viên bị rao bán.

• Kiểm soát thiết bị cá nhân: Đào tạo nhân viên tuyệt đối không lưu mật khẩu công ty trên trình duyệt cá nhân; kiểm soát chặt các thiết bị không được quản lý (unmanaged devices).

• Quản lý chuỗi cung ứng: Rà soát quy trình bảo mật của các đối tác thứ ba, đặc biệt là các nền tảng đám mây và AI.

---

Tài liệu tham khảo:

Katja Townsend (2025), A Look Back at 2025’s Cybersecurity Challenges, https://www.intercede.com/a-look-back-at-2025s-cybersecurity-challenges/

---