Số lượng nạn nhân của mã độc tống tiền trả tiền chuộc cho tội phạm mạng đã giảm xuống còn 28% vào năm ngoái, mức thấp nhất từ trước đến nay, bất chấp sự gia tăng đáng kể về số lượng các vụ tấn công được báo cáo. Nền tảng phân tích dữ liệu blockchain Chainalysis đã ghi nhận xu hướng giảm chi phí thanh toán trong bốn năm liên tiếp vừa qua.
Theo báo cáo của Chainalysis, tổng số khoản thanh toán vẫn giữ ở mức tương đối ổn định, bất chấp việc số vụ tấn công mã độc tống tiền tăng 50% so với năm trước. Năm 2024, tỷ lệ thanh toán được Chainalysis ghi nhận tăng hơn gấp đôi, đạt 62,8%, trong khi năm 2022 là 78,9%.
Sự kiện rò rỉ dữ liệu và tỷ lệ thanh toán
Dữ liệu từ Chainalysis cũng phù hợp với các báo cáo trước đó của Coveware, cho thấy tỷ lệ bồi thường cho nạn nhân giảm dần trong suốt năm 2025.
Theo công ty blockchain, một số yếu tố ảnh hưởng đến nền kinh tế mã độc tống tiền bao gồm khả năng ứng phó sự cố được cải thiện, sự tăng cường giám sát của cơ quan quản lý, các hành động thực thi pháp luật quốc tế và sự phân mảnh thị trường.
Dữ liệu của Chainalysis cho thấy, trong khi tổng doanh thu từ hoạt động tấn công bằng mã độc tống tiền giảm, thì số tiền chuộc trung vị lại tăng đáng kể, tăng 368% từ 12.738 USD vào năm 2024 lên 59.556 USD vào năm 2025.
Điều này cho thấy các nạn nhân của mã độc tống tiền trả số tiền lớn hơn với hy vọng rằng tội phạm mạng sẽ xóa dữ liệu bị đánh cắp và không rao bán, hoặc không trao đổi chúng cho các đối tượng đe dọa khác.
Biểu đồ số tiền thanh toán
Năm 2025, các nhà phân tích ghi nhận 85 nhóm tống tiền đang hoạt động, cao hơn nhiều so với những năm trước, khi lĩnh vực mã độc tống tiền chủ yếu do một số ít nhóm tội phạm mạng và nền tảng RaaS thống trị.
Một vài sự cố gây ảnh hưởng lớn mà Chainalysis nêu bật trong báo cáo của mình bao gồm cuộc tấn công vào Jaguar Land Rover, gây thiệt hại ước tính 2,5 tỷ USD, vụ xâm nhập của Marks & Spencer bởi nhóm tin tặc Scattered Spider và tấn công nhắm vào DaVita Inc. làm rò rỉ 2,7 triệu hồ sơ bệnh nhân.
Năm nay, Mỹ tiếp tục là quốc gia bị nhắm mục tiêu nhiều nhất, tiếp theo là Canada, Đức và Anh, cho thấy các tác nhân đe dọa thích tập trung nỗ lực của chúng vào các nền kinh tế phát triển.
Các quốc gia và ngành công nghiệp mục tiêu
Initial Access Brokers (IAB) – những tin tặc bán quyền truy cập vào các thiết bị đầu cuối bị xâm nhập cho các nhà điều hành mã độc tống tiền, được cho là đã kiếm được 14 triệu USD vào năm 2025, gần bằng năm ngoái. Con số này chỉ chiếm 1,7% tổng doanh thu từ các cuộc tấn công mã độc tống tiền năm 2024, mặc dù quyền truy cập ban đầu là yếu tố then chốt.
Phân tích cho thấy rằng sự gia tăng đột biến trong dòng tiền thanh toán cho IAB thường kéo theo sự gia tăng các khoản thanh toán tiền chuộc và các bài đăng rò rỉ thông tin của nạn nhân khoảng 30 ngày sau đó, cho thấy hoạt động của IAB có thể đóng vai trò là một chỉ báo sớm.
Giá trung bình cho việc truy cập mạng đã giảm từ khoảng 1.427 USD trong quý I/2023 xuống chỉ còn 439 USD trong quý I/2026, cho thấy rằng tự động hóa, các công cụ hỗ trợ bởi trí tuệ nhân tạo (AI) và nguồn cung dư thừa từ nhật ký của các phần mềm đánh cắp thông tin đã định hình ngành công nghiệp này.
Chainalysis cho biết, mặc dù số tiền chuộc đã giảm trong năm ngoái, nhưng quy mô, mức độ tinh vi và tác động thực tế của các cuộc tấn công mã độc tống tiền vẫn tiếp tục gia tăng, ảnh hưởng đến các tổ chức thuộc mọi quy mô và lĩnh vực trên toàn cầu.
