Trí tuệ nhân tạo (AI) đang làm thay đổi toàn bộ thế giới kỹ nghệ, nhưng giờ đây còn khiến cho bọn tội phạm mạng trở nên thông minh và nguy hiểm hơn bao giờ hết. Các chuyên gia nghiên cứu cảnh cáo, 80% các cuộc tấn công với virus ransomware hiện nay đã cho kết hợp với AI, mở ra một kỷ nguyên mới, kỷ nguyên của mã độc tự học, tự ra quyết định và tự thích nghi.
Kỷ nguyên ransomware "tự học" bắt đầu xuất hiện và hành động
Một báo cáo mới từ
MIT Sloan và
Safe Security có tiết lộ ra, trong năm 2025, hầu hết các cuộc tân công qua ransomware trên toàn cầu đều có sự can thiệp của AI hoặc Machine learning. Nếu như trước đây, mã độc chỉ thực hiện hành động theo mã lệnh cố định, thì giờ đây chúng có khả năng để phân tích hệ thống, chọn ra mục tiêu và ra quyết định thông minh giống như con người.
"PromptLock", Ransomware đầu tiên được vận hành qua trí tuệ nhân tạo
Tháng 8/2025, các chuyên gia nghiên cứu của ESET đã phát hiện ra một mẫu ransomware mang tên
PromptLock trên
VirusTotal, được xem là ransomware đầu tiên trên thế giới cho sử dụng AI để tự vận hành hoàn toàn.
PromptLock được nhóm chuyên gia mạng tại Đại học Kỹ thuật Tandon (New York University) tạo ra như một bằng chứng về khái niệm (Proof of Concept). Tuy nhiên, kết quả lại gây ra chấn động trong giới bảo mật. Khác với ransomware thông thường,
PromptLock có thể:
- Giao tiếp trực tiếp với các mô hình ngôn ngữ lớn (LLM) để sinh mã độc mới mỗi lần lây nhiễm.
- Phân tích hệ thống nạn nhân, tự chọn dữ liệu cần mã hóa hoặc đánh cắp.
- Tự động viết ghi chú đòi tiền chuộc được cá nhân hóa theo từng người hoặc tổ chức.
FunkSec và BlackMatter: Khi bọn tin tặc học lập trình qua AI”
Nếu
PromptLock là mẩu được thử nghiệm trong phòng lab, thì
FunkSec và
BlackMatter đã chứng minh rằng
AI ransomware là mối đe dọa thật sự trong xã hội. Xuất hiện vào cuối năm 2024,
FunkSec đã đước phát tán nhanh chóng dù nhóm tin tặc này không nắm sở hữu kỹ năng kỹ thuật cao. Chúng đã sử dụng AI để:
- Phát sinh ra mã độc tự động chỉ trong vài phút.
- Viết comment trong code giải thích chức năng từng dòng.
- Tạo ra biến thể mã độc mới liên tục, khiến cho ứng dụng bảo mật không kịp cập nhật để kịp thời đối phó.
Chỉ trong vài tháng, tin tặc
FunkSec đã phát động tấn công hơn 120 tổ chức trong lĩnh vực chính phủ, quốc phòng, kỹ nghệ và giáo dục. Tương tự,
BlackMatter (một nhánh tách ra từ DarkSide) đã cho kết hợp AI trong khâu mã hóa số liệu và phân tích phản ứng phòng thủ của hệ thống nạn nhân, giúp ẩn mình khỏi các ứng dụng phát hiện mã độc truyền thống.
(Minh họa)
Cách thức AI cho nâng cấp ransomware lên tầm mới
AI đã biến ransomware từ mã độc tấn công thủ công thành tác nhân được tự động hóa toàn diện, có thể tự điều khiển mọi giai đoạn của cuộc xâm nhập tấn công.
1/ Tự động trinh sát hệ thống (Reconnaissance):
AI cho quét mạng, phát hiện ra điểm yếu, lựa chọn yếu tố khai thác phù hợp mà không cần đến con người điều khiển.
2/ Mã hóa thích nghi (Adaptive Encryption):
Tùy vào số lượng và độ quan trọng của tập tin, mã độc cho thay đổi thuật toán mã hóa theo thời gian thực tế, khiến việc giải mã hầu như không thể làm.
3/ Che giấu thông minh (Polymorphic Evasion):
Nhờ Machine learning, mỗi lần cho thực thi, mã độc cho thay đổi mọi dấu vết (fingerprint), vô hiệu hóa hoàn toàn cách phát hiện ra dựa trên chữ ký.
4/ Ra quyết định chiến thuật:
Mã độc có thể nhận biết khi người dùng vắng mặt, chờ ban đêm hoặc cuối tuần để ra tay tấn công, giảm nguy cơ bị phát hiện.
Mức thiệt hại khổng lồ: 6 triệu USD cho mỗi vụ tấn công
Theo thống kê, mức thiệt hại trung bình của mỗi vụ ransomware trong năm 2024 là 5,13 triệu USD và dự kiến sẽ tăng lên hơn 6 triệu USD trong năm 2025 này.
Đặc biệt, 60% doanh nghiệp nhỏ bị tấn công sẽ phá sản trong vòng 6 tháng, vì không thể gánh nổi chi phí phục hồi, mất dữ liệu, mất khách hàng và phí bảo hiểm tăng vọt.
Một ví dụ điển hình xảy ra tại một bệnh viện ở Ấn Độ, ransomware AI tự động lập ra bản đồ hệ thống, xác định máy chủ chứa hồ sơ bệnh án điện tử (EHR) và kích hoạt mã hóa tăng tốc khi phát hiện ra các hành động phòng thủ. Kết quả là toàn bộ hệ thống y tế đã bị tê liệt trong nhiều ngày.
Giải pháp: Phòng thủ bằng chính trí tuệ nhân tạo
Các chuyên gia khuyến cáo, bây giờ là lúc các doanh nghiệp phải dùng AI để chống lại AI, kết hợp nhiều lớp phòng vệ chủ động thay vì chỉ biết phản ứng khi bị tấn công.
Những biện pháp cần cho triển khai ngay:
* Kiến trúc Zero Trust: Không tin mặc định bất cứ người dùng hay thiết bị nào; quyền truy cập cần nên thay đổi liên tục theo hành vi.
* Hệ thống AI giám sát hành vi: Giúp phát hiện ra sớm mọi hoạt động bất thường và ngăn chặn đến 85% vụ tấn công.
* Kỹ thuật Deception: Thiết kế "bẫy ảo" và "tài sản giả mạo" (honeypot) để theo dõi chiến thuật mã độc mà không ảnh hưởng đến hệ thống thật.
* Sao lưu bất biến (Immutable Backup): Lưu trữ số liệu ở nơi được cho cách ly hoàn toàn (air-gapped) để tránh bị xóa hoặc bị mã hóa.
* AI đối kháng (Adversarial AI): Tạo ra số liệu nhiễu khiến cho mô hình tấn công của kẻ địch ra quyết định sai lầm.
Hacker giờ đây không chỉ là con người, đó có thể là những thuật toán biết học hỏi, ra quyết định và không bao giờ ngủ. Sự xuất hiện của
AI-powered ransomware cũng chỉ là bước đi được cho khởi động, chúng có thể là tiền đề cho việc thay đổi lại toàn bộ mặt trận an ninh mạng trong tương lai. Chỉ những ai có sự chuẩn bị chủ động, cho áp dụng AI vào hệ thống phòng thủ và xây dựng hệ thống phòng vệ nhiều lớp, mới có thể tồn tại trước làn sóng ransomware thông minh đang trỗi dậy hiện nay.
