Trí tuệ nhân tạo (AI) đang làm thay đổi toàn bộ thế giới kỹ nghệ, nhưng giờ đây c̣n khiến cho bọn tội phạm mạng trở nên thông minh và nguy hiểm hơn bao giờ hết. Các chuyên gia nghiên cứu cảnh cáo, 80% các cuộc tấn công với virus ransomware hiện nay đă cho kết hợp với AI, mở ra một kỷ nguyên mới, kỷ nguyên của mă độc tự học, tự ra quyết định và tự thích nghi.
Kỷ nguyên ransomware "tự học" bắt đầu xuất hiện và hành động
Một báo cáo mới từ
MIT Sloan và
Safe Security có tiết lộ ra, trong năm 2025, hầu hết các cuộc tân công qua ransomware trên toàn cầu đều có sự can thiệp của AI hoặc Machine learning. Nếu như trước đây, mă độc chỉ thực hiện hành động theo mă lệnh cố định, th́ giờ đây chúng có khả năng để phân tích hệ thống, chọn ra mục tiêu và ra quyết định thông minh giống như con người.
"PromptLock", Ransomware đầu tiên được vận hành qua trí tuệ nhân tạo
Tháng 8/2025, các chuyên gia nghiên cứu của ESET đă phát hiện ra một mẫu ransomware mang tên
PromptLock trên
VirusTotal, được xem là ransomware đầu tiên trên thế giới cho sử dụng AI để tự vận hành hoàn toàn.
PromptLock được nhóm chuyên gia mạng tại Đại học Kỹ thuật Tandon (New York University) tạo ra như một bằng chứng về khái niệm (Proof of Concept). Tuy nhiên, kết quả lại gây ra chấn động trong giới bảo mật. Khác với ransomware thông thường,
PromptLock có thể:
- Giao tiếp trực tiếp với các mô h́nh ngôn ngữ lớn (LLM) để sinh mă độc mới mỗi lần lây nhiễm.
- Phân tích hệ thống nạn nhân, tự chọn dữ liệu cần mă hóa hoặc đánh cắp.
- Tự động viết ghi chú đ̣i tiền chuộc được cá nhân hóa theo từng người hoặc tổ chức.
FunkSec và BlackMatter: Khi bọn tin tặc học lập tŕnh qua AI”
Nếu
PromptLock là mẩu được thử nghiệm trong pḥng lab, th́
FunkSec và
BlackMatter đă chứng minh rằng
AI ransomware là mối đe dọa thật sự trong xă hội. Xuất hiện vào cuối năm 2024,
FunkSec đă đước phát tán nhanh chóng dù nhóm tin tặc này không nắm sở hữu kỹ năng kỹ thuật cao. Chúng đă sử dụng AI để:
- Phát sinh ra mă độc tự động chỉ trong vài phút.
- Viết comment trong code giải thích chức năng từng ḍng.
- Tạo ra biến thể mă độc mới liên tục, khiến cho ứng dụng bảo mật không kịp cập nhật để kịp thời đối phó.
Chỉ trong vài tháng, tin tặc
FunkSec đă phát động tấn công hơn 120 tổ chức trong lĩnh vực chính phủ, quốc pḥng, kỹ nghệ và giáo dục. Tương tự,
BlackMatter (một nhánh tách ra từ DarkSide) đă cho kết hợp AI trong khâu mă hóa số liệu và phân tích phản ứng pḥng thủ của hệ thống nạn nhân, giúp ẩn ḿnh khỏi các ứng dụng phát hiện mă độc truyền thống.
(Minh họa)
Cách thức AI cho nâng cấp ransomware lên tầm mới
AI đă biến ransomware từ mă độc tấn công thủ công thành tác nhân được tự động hóa toàn diện, có thể tự điều khiển mọi giai đoạn của cuộc xâm nhập tấn công.
1/ Tự động trinh sát hệ thống (Reconnaissance):
AI cho quét mạng, phát hiện ra điểm yếu, lựa chọn yếu tố khai thác phù hợp mà không cần đến con người điều khiển.
2/ Mă hóa thích nghi (Adaptive Encryption):
Tùy vào số lượng và độ quan trọng của tập tin, mă độc cho thay đổi thuật toán mă hóa theo thời gian thực tế, khiến việc giải mă hầu như không thể làm.
3/ Che giấu thông minh (Polymorphic Evasion):
Nhờ Machine learning, mỗi lần cho thực thi, mă độc cho thay đổi mọi dấu vết (fingerprint), vô hiệu hóa hoàn toàn cách phát hiện ra dựa trên chữ kư.
4/ Ra quyết định chiến thuật:
Mă độc có thể nhận biết khi người dùng vắng mặt, chờ ban đêm hoặc cuối tuần để ra tay tấn công, giảm nguy cơ bị phát hiện.
Mức thiệt hại khổng lồ: 6 triệu USD cho mỗi vụ tấn công
Theo thống kê, mức thiệt hại trung b́nh của mỗi vụ ransomware trong năm 2024 là 5,13 triệu USD và dự kiến sẽ tăng lên hơn 6 triệu USD trong năm 2025 này.
Đặc biệt, 60% doanh nghiệp nhỏ bị tấn công sẽ phá sản trong ṿng 6 tháng, v́ không thể gánh nổi chi phí phục hồi, mất dữ liệu, mất khách hàng và phí bảo hiểm tăng vọt.
Một ví dụ điển h́nh xảy ra tại một bệnh viện ở Ấn Độ, ransomware AI tự động lập ra bản đồ hệ thống, xác định máy chủ chứa hồ sơ bệnh án điện tử (EHR) và kích hoạt mă hóa tăng tốc khi phát hiện ra các hành động pḥng thủ. Kết quả là toàn bộ hệ thống y tế đă bị tê liệt trong nhiều ngày.
Giải pháp: Pḥng thủ bằng chính trí tuệ nhân tạo
Các chuyên gia khuyến cáo, bây giờ là lúc các doanh nghiệp phải dùng AI để chống lại AI, kết hợp nhiều lớp pḥng vệ chủ động thay v́ chỉ biết phản ứng khi bị tấn công.
Những biện pháp cần cho triển khai ngay:
* Kiến trúc Zero Trust: Không tin mặc định bất cứ người dùng hay thiết bị nào; quyền truy cập cần nên thay đổi liên tục theo hành vi.
* Hệ thống AI giám sát hành vi: Giúp phát hiện ra sớm mọi hoạt động bất thường và ngăn chặn đến 85% vụ tấn công.
* Kỹ thuật Deception: Thiết kế "bẫy ảo" và "tài sản giả mạo" (honeypot) để theo dơi chiến thuật mă độc mà không ảnh hưởng đến hệ thống thật.
* Sao lưu bất biến (Immutable Backup): Lưu trữ số liệu ở nơi được cho cách ly hoàn toàn (air-gapped) để tránh bị xóa hoặc bị mă hóa.
* AI đối kháng (Adversarial AI): Tạo ra số liệu nhiễu khiến cho mô h́nh tấn công của kẻ địch ra quyết định sai lầm.
Hacker giờ đây không chỉ là con người, đó có thể là những thuật toán biết học hỏi, ra quyết định và không bao giờ ngủ. Sự xuất hiện của
AI-powered ransomware cũng chỉ là bước đi được cho khởi động, chúng có thể là tiền đề cho việc thay đổi lại toàn bộ mặt trận an ninh mạng trong tương lai. Chỉ những ai có sự chuẩn bị chủ động, cho áp dụng AI vào hệ thống pḥng thủ và xây dựng hệ thống pḥng vệ nhiều lớp, mới có thể tồn tại trước làn sóng ransomware thông minh đang trỗi dậy hiện nay.