Cuộc tấn công mạng đã gây ra sự sụp đổ của công ty hậu cần Knights of Old Group của Anh (KNP Logistics) vào năm 2023. Câu chuyện về vụ việc này đã được làm thành bộ phim tài liệu Panorama và được tiết lộ chi tiết. Theo tờ The Times, cuộc tấn công bắt đầu từ ngày 26/6/2023 khi tin tặc đột nhập vào hệ thống mạng của công ty thông qua một tài khoản nhân viên với mật khẩu yếu. Chúng nhanh chóng tiếp cận các hệ thống nhạy cảm và triển khai mã độc tống tiền. Không chỉ mã hóa dữ liệu, chúng còn đe dọa công bố thông tin nội bộ và dữ liệu khách hàng lên mạng, một chiến thuật tống tiền kép nhằm gia tăng áp lực buộc công ty phải trả tiền chuộc.

Mặc dù Knights of Old tuân thủ các tiêu chuẩn bảo mật dữ liệu quốc tế và có bảo hiểm an ninh mạng, công ty vẫn không thể phục hồi sau những thiệt hại nặng nề về vận hành và uy tín. Đến tháng 9/2023, công ty buộc phải ngừng hoạt động hoàn toàn, kết thúc hành trình 158 năm và để lại một khoảng trống trong ngành hậu cần Anh quốc. Khoảng 500 xe tải của công ty đã ngừng hoạt động, khiến 700 lao động mất việc sau khi nhóm tin tặc thực hiện cuộc tấn công.

Công ty bảo hiểm an ninh mạng Solace Global đã nhận thông tin và xử lý ngay sáng hôm sau. Đại diện Solace cho biết nhóm kỹ thuật đã phát hiện toàn bộ dữ liệu của KNP đã bị mã hóa và các hệ thống quan trọng bị xóa sạch. Theo công ty an ninh mạng Sophos, số vụ tấn công ransomware trên toàn cầu đã tăng 105% chỉ trong một năm, từ 2022 đến 2023. Các nhóm tin tặc ngày càng hoạt động có tổ chức và tận dụng dữ liệu đánh cắp để thực hiện các đòn tấn công có mục tiêu.

Sự phụ thuộc ngày càng lớn của nền kinh tế toàn cầu vào hạ tầng số khiến các doanh nghiệp trở nên dễ bị tổn thương hơn trước các cuộc tấn công mạng. Sự sụp đổ của Knights of Old là hồi chuông cảnh báo cho các doanh nghiệp. Để tránh rơi vào bi kịch tương tự, các doanh nghiệp cần ghi nhớ một số bài học sống còn.

Đầu tiên, đầu tư vào các biện pháp bảo mật, bao gồm bảo mật điểm cuối nâng cao, giám sát hệ thống liên tục và có sẵn kịch bản ứng phó sự cố rõ ràng. Thứ hai, áp dụng xác thực đa yếu tố (MFA). Thứ ba, sao lưu dữ liệu định kỳ và duy trì bản sao lưu an toàn. Thứ tư, đào tạo nhân viên thường xuyên để nâng cao nhận thức và kỹ năng ứng phó với các cuộc tấn công. Cuối cùng, cập nhật thông tin an ninh mạng để phát hiện sớm nguy cơ và các mối đe dọa.

Ngày 7/7/2025, Microsoft đã phát đi cảnh báo bảo mật khẩn cấp liên quan đến một chiến dịch tấn công mạng có tổ chức và chủ đích, nhắm vào các hệ thống SharePoint Server on-premises. Được biết, chiến dịch này được thực hiện bởi ba nhóm tin tặc có nguồn gốc từ Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các cuộc tấn công này đã lợi dụng một chuỗi các lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công vượt qua xác thực, thực thi mã từ xa và quan trọng hơn là chiếm quyền kiểm soát các hệ thống nội bộ.

Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân bị xâm nhập đã được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện bất kỳ dấu hiệu nào về việc rò rỉ dữ liệu mật, vụ việc này đã cho thấy rõ quy mô và mức độ tinh vi của làn sóng tấn công mạng mà các tổ chức trên toàn thế giới đang phảiเผ mặt.

Qua quá trình điều tra, Microsoft đã xác định được bốn lỗ hổng bảo mật được khai thác trong đợt tấn công này, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ. Nhận thấy mức độ nghiêm trọng của vấn đề, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng nhằm khắc phục những lỗ hổng này.

Ngoài việc phát hành bản vá, Microsoft cũng khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ nhằm bảo vệ hệ thống trước làn sóng tấn công này. Một số biện pháp được khuyến cáo bao gồm kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, thực hiện việc xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS. Những biện pháp này được đánh giá là cần thiết để tăng cường bảo mật và giảm thiểu rủi ro bị tấn công.

Cục An ninh mạng và An ninh Thông tin (CISA) đã thêm CVE-2025-53771 vào danh sách các lỗ hổng cần khắc phục khẩn cấp vào ngày 22/7/2025, với hạn chót thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng cũng cảnh báo rằng việc kết hợp giữa bypass xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu, một loại hình tấn công thường gây ra những hậu quả nghiêm trọng.

Do đó, việc cập nhật bản vá không còn là một lựa chọn, mà đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào. Các tổ chức và doanh nghiệp cần phải ưu tiên hàng đầu cho việc cập nhật và vá các lỗ hổng bảo mật, đồng thời tăng cường các biện pháp phòng thủ để bảo vệ hệ thống và dữ liệu của mình.

Trí tuệ nhân tạo (AI) đã trở thành một thành phần quan trọng trong hoạt động của nhiều doanh nghiệp hiện nay. Việc tích hợp AI vào hệ thống chatbot giúp cải thiện hiệu suất công việc và tăng cường trải nghiệm người dùng. Tuy nhiên, điều này cũng tạo ra một lỗ hổng bảo mật tiềm ẩn khi hệ thống chatbot tích hợp AI có thể trở thành mục tiêu cho các cuộc tấn công mạng, dẫn đến việc lấy cắp thông tin trên hệ thống lưu trữ dữ liệu.

Ông Đào Việt Hùng, giám đốc quốc gia Akamai Technologies Việt Nam, đã cảnh báo về các phương thức tấn công vào các mô hình AI. Một trong những phương thức phổ biến là “đầu độc nội dung”, một loại hình tấn công dường như “vô hình” trước những hệ thống bảo vệ thông tin truyền thống. Hacker có thể sử dụng cách liên tục hỏi và dạy lại mô hình AI những thông tin sai lệch, gây “nhiễm độc” thông tin.

Nếu thông tin trên hệ thống cloud đã bị “nhiễm độc” mà không được phát hiện và vẫn được tiếp tục sử dụng, nó có thể đưa ra những thông tin không chính xác hoặc tạo ra lỗ hổng để hacker lách vào cơ sở dữ liệu với mục đích lấy thông tin. Ông Đào Việt Hùng đã đưa ra ví dụ về việc một hệ thống chatbot bán hàng trực tuyến của một hãng ô tô bị thuyết phục để bán một chiếc xe mới với giá chỉ 1 đô la. Nguyên nhân là do trong quá trình trao đổi, thỏa thuận với chatbot, khách hàng này đã tìm cách “lách” vào cơ sở dữ liệu và thuyết phục chatbot đồng ý với yêu cầu trên.

Một ví dụ khác là khi hacker đã thành công lấy được tất cả tài liệu mật và sơ đồ tổ chức của công ty chỉ bằng cách soạn những câu hỏi phù hợp gửi đến chatbot AI nội bộ. Những rủi ro này cho thấy sự cần thiết của việc bảo vệ hệ thống AI khỏi các cuộc tấn công mạng.

Ông Đào Việt Hùng cũng chia sẻ về giải pháp AI security để chính AI bảo vệ AI, một hình thức đã được nhiều doanh nghiệp lớn trên thế giới sử dụng. Với phương thức bảo mật này, những dữ liệu được lưu trữ tích hợp nhiều lớp bảo vệ, giúp ngăn chặn việc “nhiễm độc”. Hệ thống AI security có thể phát hiện được đâu là những thông tin sạch và đâu là những thông tin tiềm ẩn nguy cơ tấn công, từ đó có phương án xử lý nhanh chóng và thích hợp.

Sự kiện OpenInfra & Cloud Native Day Vietnam 2025 sẽ diễn ra vào ngày 26-7 tại Hà Nội, do Hiệp hội Internet Việt Nam (VIA) phối hợp với Vietnam Open Infrastructure Community (VietOpenInfra), Câu lạc bộ Điện toán đám mây và Trung tâm Dữ liệu Việt Nam (VNCDC) tổ chức, với sự ủng hộ của Bộ Khoa học và Công nghệ. Sự kiện này là cơ hội để các chuyên gia và doanh nghiệp thảo luận về các giải pháp và công nghệ mới nhất trong lĩnh vực bảo mật và công nghệ đám mây.

Thông tin thêm về sự kiện và các giải pháp bảo mật AI có thể được tìm thấy tại trang web của Hiệp hội Internet Việt Nam và các nguồn tin cậy khác.

Lumma Stealer, một trong những phần mềm đánh cắp thông tin phổ biến nhất trên thế giới, đã thể hiện khả năng phục hồi đáng kể sau cuộc triệt phá của FBI vào tháng 5. Theo các nhà nghiên cứu an ninh mạng của Trend Micro, nhóm điều hành Lumma Stealer đã nhanh chóng triển khai lại hệ thống phân phối của họ và áp dụng các kỹ thuật ẩn mình tinh vi hơn để tránh bị phát hiện. Sự gia tăng trở lại trong số lượng tài khoản bị tấn công bằng Lumma Stealer trong giai đoạn từ tháng 6 đến tháng 7 đã cho thấy mối đe dọa này vẫn còn tồn tại và đang phát triển.

Lumma Stealer hoạt động dựa trên mô hình malware-as-a-service, cho phép các tội phạm mạng khác thuê hoặc mua dịch vụ mà không cần có kiến thức kỹ thuật sâu rộng. Điều này làm cho nó trở thành một công cụ tiếp cận dễ dàng cho những kẻ muốn thu thập dữ liệu nhạy cảm. Phần mềm độc hại này có khả năng thu thập hàng loạt dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm, bao gồm thông tin đăng nhập, dữ liệu tài chính, dữ liệu trình duyệt và dữ liệu cá nhân. Thông tin này sau đó có thể được sử dụng cho nhiều mục đích xấu, từ việc đánh cắp danh tính đến việc thực hiện các giao dịch tài chính bất hợp pháp.

Việc phát tán Lumma Stealer được thực hiện thông qua nhiều kênh và chiến thuật lén lút. Các phương thức phổ biến bao gồm việc sử dụng phần mềm bẻ khóa, trang web lừa đảo, quảng cáo độc hại và thậm chí là các chiến dịch trên mạng xã hội. Những chiến thuật này không ngừng được cập nhật và cải tiến, khiến cho việc phát hiện và ngăn chặn trở nên thách thức hơn bao giờ hết.

Để phòng ngừa và giảm thiểu rủi ro liên quan đến Lumma Stealer, các tổ chức cần chủ động trong công tác tình báo mối đe dọa. Việc tăng cường hợp tác giữa ngành an ninh mạng và cơ quan thực thi pháp luật là rất quan trọng để theo dõi các biến thể của Lumma Stealer và cập nhật các biện pháp bảo vệ cần thiết. Ngoài ra, việc đào tạo nhân viên cách phát hiện mối đe dọa từ các chiến dịch Lumma Stealer đang hoạt động và đã biết đến cũng là một bước quan trọng. Thông qua việc nâng cao nhận thức và áp dụng các biện pháp an ninh mạng hiệu quả, các tổ chức có thể giảm thiểu nguy cơ bị tấn công và bảo vệ thông tin nhạy cảm của mình.

Các chuyên gia an ninh mạng khuyến cáo rằng việc duy trì sự cảnh giác và liên tục cập nhật các biện pháp bảo vệ là chìa khóa để đối phó với những mối đe dọa như Lumma Stealer. Với sự phát triển không ngừng của các kỹ thuật tấn công, việc hợp tác và chia sẻ thông tin giữa các bên liên quan sẽ giúp nâng cao hiệu quả trong cuộc chiến chống lại các phần mềm độc hại.

Đối với người dùng cá nhân, việc duy trì sự cẩn thận khi sử dụng internet và tải xuống các phần mềm từ nguồn không đáng tin cậy là rất quan trọng. Sử dụng các phần mềm diệt virus uy tín và thường xuyên cập nhật hệ thống cũng giúp giảm thiểu rủi ro bị nhiễm mã độc.

Tóm lại, mặc dù Lumma Stealer đã bị nhắm tới trong các chiến dịch triệt phá của cơ quan chức năng, sự phục hồi nhanh chóng của nó cho thấy cần phải có những nỗ lực liên tục và phối hợp giữa các bên liên quan để chiến đấu hiệu quả chống lại loại mã độc này.

Một loạt vụ tấn công mạng gần đây đã nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft, trong đó Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA) là một trong những mục tiêu chính. Các tin tặc đã lợi dụng các lỗ hổng bảo mật để xâm nhập vào hệ thống của NSA, nhưng may mắn là không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này nằm trong chiến dịch có tên ‘ToolShell’, được phát hiện ra bởi các chuyên gia bảo mật tại Symantec. Chiến dịch này cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Các cuộc tấn công này không chỉ nhắm vào Mỹ, mà còn nhắm vào Đức và một số nước châu Âu khác, chủ yếu nhắm vào các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế.

Trong quá trình điều tra, các chuyên gia bảo mật đã phát hiện ra rằng các cuộc tấn công này bắt đầu bằng việc gửi email lừa đảo chứa liên kết dẫn đến phần mềm độc hại. Khi người dùng click vào liên kết, phần mềm độc hại sẽ được tải xuống và cài đặt trên hệ thống. Sau đó, tin tặc sẽ sử dụng các kỹ thuật khác để nâng cao đặc quyền và chiếm quyền kiểm soát hệ thống.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Các email lừa đảo hiện nay có nội dung tự nhiên giống như thật, khiến cho người dùng khó phân biệt được đâu là email thật và đâu là email lừa đảo. Điều này đòi hỏi người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Các chuyên gia bảo mật khuyến cáo người dùng cần thường xuyên cập nhật phần mềm và hệ thống để vá các lỗ hổng bảo mật. Ngoài ra, người dùng cũng nên sử dụng các công cụ bảo mật như phần mềm diệt virus và tường lửa để bảo vệ hệ thống. Quan trọng nhất, người dùng cần nâng cao cảnh giác khi nhận được email lạ hoặc có nội dung đáng ngờ, và không nên click vào các liên kết hoặc tải xuống phần mềm từ nguồn không đáng tin cậy.

Để biết thêm thông tin về các biện pháp bảo mật cần thiết, bạn có thể truy cập vào trang web của Symantec hoặc trang web của Microsoft để tìm hiểu thêm.