Mã độc tống tiền (ransomware) tiếp tục là mối đe dọa hàng đầu đối với các doanh nghiệp vừa và nhỏ (SMB) tại Đông Nam Á, theo dữ liệu mới nhất từ Kaspersky. Trong quý I/2026, tỷ lệ SMB trong khu vực trở thành mục tiêu tấn công đã tăng lên 3,51%, so với mức 2,92% cùng kỳ năm 2025 — dù một số thị trường như Việt Nam ghi nhận xu hướng giảm nhẹ.

Đông Nam Á tăng, nhưng bức tranh từng nước lại khác nhau
Không phải quốc gia nào trong khu vực cũng có diễn biến giống nhau. Ấn Độ và Indonesia là hai thị trường chứng kiến mức tăng đáng chú ý nhất, trong khi Singapore và Malaysia tăng nhẹ. Ngược lại, Việt Nam, Philippines và Thái Lan lại có tỷ lệ giảm so với cùng kỳ năm trước.
Tỷ lệ % SMB trở thành mục tiêu tấn công mã độc tống tiền
| Quốc gia | 2025 Q1 | 2026 Q1 |
|---|---|---|
| Ấn Độ | 3,18% | 4,07% |
| Indonesia | 2,83% | 4,01% |
| Malaysia | 2,09% | 2,74% |
| Việt Nam | 2,91% | 2,56% |
| Philippines | 2,46% | 1,80% |
| Thái Lan | 1,28% | 1,12% |
| Singapore | 0,57% | 0,69% |
| Đông Nam Á | 2,92% | 3,51% |
Việt Nam giảm nhẹ không có nghĩa là an toàn
Dù tỷ lệ tấn công tại Việt Nam giảm từ 2,91% xuống 2,56%, Kaspersky nhấn mạnh đây không phải dấu hiệu đáng mừng. Việc tỷ lệ SMB bị tấn công luôn duy trì ở mức cao và ổn định qua nhiều quý cho thấy mối đe dọa vẫn hoành hành dai dẳng, chứ không hề suy giảm về bản chất nguy hiểm.
Đáng chú ý, số liệu thống kê thực tế chỉ phản ánh một phần của vấn đề. Các nhóm tội phạm mạng thường triển khai tấn công theo nhiều giai đoạn — từ xâm nhập ban đầu, do thám hệ thống, thu thập thông tin cho đến di chuyển ngang trong mạng lưới. Chỉ khi mã độc bắt đầu khóa dữ liệu ở giai đoạn cuối, vụ việc mới được ghi nhận chính thức là một cuộc tấn công ransomware. Điều này đồng nghĩa mức độ phổ biến thực tế của mối đe dọa này có thể còn cao hơn nhiều so với con số công bố.
Những nhóm ransomware đáng chú ý nhất hiện nay
Dựa trên số lượng nạn nhân được công bố trên các Dedicated Leak Site, ba cái tên nổi bật nhất gồm:
- Clop — chiếm 14,42% tổng số nạn nhân được ghi nhận.
- Qilin — 12,34%, từng dẫn đầu trong kỳ báo cáo trước.
- The Gentlemen — nhóm mới nổi từ khoảng tháng 7/2025, phát triển rất nhanh, tự xây dựng công cụ thu thập thông tin nạn nhân và được cho là hợp tác với các Initial Access Broker (IAB) để mua quyền truy cập trái phép vào hệ thống mục tiêu.
Chuyên gia Kaspersky nói gì
Ông Fedor Sinitsyn, chuyên gia bảo mật tại Kaspersky, cho biết: “Các tác nhân đe dọa đang liên tục thay đổi và hoàn thiện chiến thuật để vượt qua các biện pháp bảo mật hiện có. Doanh nghiệp vừa và nhỏ không thể xem nhẹ mức độ tinh vi và rủi ro mà mã độc tống tiền gây ra. Chỉ sao lưu dữ liệu là không đủ, đặc biệt khi phần lớn các nhóm hiện nay dùng chiến thuật ‘tống tiền kép’ — vừa mã hóa dữ liệu vừa đánh cắp và đe dọa phát tán nếu nạn nhân từ chối trả tiền chuộc.”
Ông Adrian Hia, Giám đốc Điều hành khu vực Châu Á – Thái Bình Dương của Kaspersky, bổ sung: “Doanh nghiệp vừa và nhỏ trong khu vực đang đối mặt rủi ro ngày càng lớn, vì thường thiếu nguồn lực duy trì đội ngũ an ninh mạng chuyên trách hay chương trình quản lý bản vá toàn diện. SMB còn bị lợi dụng làm bàn đạp để xâm nhập sâu hơn vào chuỗi cung ứng lớn hơn.”
Doanh nghiệp cần làm gì để tự bảo vệ
Trước những rủi ro ngày càng gia tăng, Kaspersky khuyến nghị các SMB nên chủ động thực hiện các biện pháp sau:
- Luôn cập nhật phần mềm trên mọi thiết bị để ngăn chặn việc khai thác các lỗ hổng bảo mật đã biết.
- Xây dựng chiến lược phát hiện di chuyển ngang (lateral movement) và tuồn dữ liệu ra ngoài (data exfiltration); theo dõi lưu lượng truy cập đi; thiết lập bản sao lưu ngoại tuyến để đảm bảo khôi phục nhanh khi có sự cố.
- Triển khai các giải pháp chống APT và EDR (ví dụ như Kaspersky Next) để phát hiện mối đe dọa nâng cao, hỗ trợ điều tra và xử lý sự cố kịp thời.
- Xây dựng kế hoạch ứng phó sự cố bao gồm cả kịch bản tấn công chuỗi cung ứng, xác định rõ các bước cô lập sự cố như ngắt kết nối với nhà cung cấp khi cần thiết.
Với xu hướng ransomware ngày càng tinh vi và các nhóm tội phạm mới liên tục xuất hiện, việc chủ động phòng thủ nhiều lớp thay vì chỉ dựa vào sao lưu dữ liệu đang trở thành yêu cầu bắt buộc đối với mọi doanh nghiệp vừa và nhỏ, bất kể tỷ lệ tấn công tại quốc gia của họ tăng hay giảm trong ngắn hạn.


