Thông tin trên được đưa ra từ Báo cáo Tổng quan Mối đe dọa Toàn cầu năm 2026 do FortiGuard Labs phát hành mới đây. Được xây dựng độc quyền từ dữ liệu được thu thập của FortiGuard Labs, báo cáo thường niên mới nhất này là một bức tranh tổng quan về tình hình và xu hướng các mối đe dọa an ninh mạng hiện tại.

Cần những hệ thống phòng thủ "công nghiệp hóa"

Ông Derek Manky - Phó chủ tịch phụ trách Chiến lược an ninh mạng và Nghiên cứu mối đe dọa toàn cầu tại FortiGuard Labs - cho biết: "Khi tội phạm mạng ngày càng tăng cường sử dụng AI để củng cố chiến thuật của chúng, các nhà bảo vệ mạng phải phát triển các hoạt động an ninh mạng thành một hệ thống phòng thủ công nghiệp hóa và áp dụng các công cụ hỗ trợ AI có khả năng phản hồi với tốc độ tương đương với các mối đe dọa hiện đại".

Theo đó, một phát hiện quan trọng từ Báo cáo Tổng quan Mối đe dọa Toàn cầu mới nhất của FortiGuard Labs là Tốc độ quyết định rủi ro khi thời gian khai thác (TTE) giảm. Khi AI đẩy nhanh quá trình trinh sát, vũ khí hóa và thực thi, các thông tin tình báo của FortiGuard cho thấy TTE giảm xuống còn 24-48 giờ đối với các đợt bùng phát nghiêm trọng, tăng mạnh so với các báo cáo trước đó cho thấy thời gian này là 4,76 ngày. Các sự cố thực tế phản ánh cách mà từng phút có thể quyết định kết quả: Các nỗ lực khai thác chủ động đã được thực hiện chỉ trong vòng vài giờ sau khi lỗ hổng React2Shell được công khai.

Cùng đó, số nạn nhân của mã độc tống tiền tăng vọt: FortiRecon xác định được 7.831 nạn nhân của mã độc mã hoá trên toàn cầu, tăng vọt so với khoảng 1.600 nạn nhân được xác định trong Báo cáo năm 2025 của Fortinet. Sự phổ biến của các bộ công cụ tội phạm mạng như WormGPT, FraudGPT và BruteForceAI đã góp phần vào mức tăng 389% này so với năm trước. Ba lĩnh vực bị nhắm mục tiêu hàng đầu bao gồm sản xuất (1.284), dịch vụ kinh doanh (824) và bán lẻ (682). Về mặt địa lý, các khu vực bị tập trung tấn công bao gồm Hoa Kỳ (3.381), Canada (374) và Đức (291).

Ngoài ra, thông tin tình báo của FortiCNAPP xác nhận rằng trong suốt năm 2025, hầu hết các sự cố trên đám mây được xác nhận đều bắt nguồn từ thông tin đăng nhập bị đánh cắp, bị lộ hoặc bị sử dụng sai mục đích, chứ không phải từ việc khai thác cơ sở hạ tầng. Phân tích theo ngành cho thấy bệnh viện/phòng khám và các cơ sở bán lẻ là mục tiêu hàng đầu. Số lượng lớn người dùng có thông tin định danh riêng, mô hình truy cập liên kết và tích hợp đám mây phức tạp khiến những nơi này trở thành mục tiêu chính của tin tặc độc hại.

Khi AI "tiếp tay" đắc lực cho tin tặc

Theo Dự báo về các mối đe dọa mạng năm 2026 của FortiGuard Labs, các nhóm tội phạm mạng có năng lực nhất hoạt động như các doanh nghiệp “bán tự động”, được hỗ trợ bởi các tác nhân ngầm, các nhà môi giới truy cập và các nhà điều hành mạng botnet cung cấp dịch vụ theo yêu cầu.

Theo đó, FortiRecon đã thu thập được các dấu hiệu từ web đen, phát hiện các công cụ tấn công hỗ trợ bởi AI được quảng cáo dưới dạng dịch vụ và sản phẩm (bao gồm các phiên bản nâng cao của WormGPT và FraudGPT) và các dịch vụ mới như HexStrike AI - một công cụ AI tấn công với khả năng tạo đường dẫn tấn công trinh sát tự động; và BruteForceAI - một công cụ kiểm thử xâm nhập tích hợp các mô hình ngôn ngữ lớn (LLM) để phân tích biểu mẫu thông minh và có thể thực hiện các cuộc tấn công đa luồng phức tạp.

Dữ liệu telemetry của FortiGate IPS cũng ghi nhận mức giảm 22% số lần tấn công brute force so với cùng kỳ năm ngoái, cho thấy một sự "cải tiến hiệu suất" đáng lo ngại: Với các kỹ thuật tấn công được tối ưu hóa và thông minh hơn, tội phạm mạng giảm số lần tấn công, lựa chọn mục tiêu kỹ lưỡng hơn, làm tăng xác suất thành công trên mỗi thông tin đăng nhập được kiểm tra. Hoạt động này tương đương với khoảng 67,65 tỷ sự kiện tấn công brute force trên toàn cầu, với khoảng 185 triệu lần tấn công mỗi ngày; 1,3 tỷ lần tấn công mỗi tuần; và 5,6 tỷ lần tấn công mỗi tháng. Đồng thời, thông tin tình báo cho thấy mức tăng 25,49% số lần tấn công khai thác lỗ hổng trên toàn cầu so với cùng kỳ năm ngoái.