Cựu giám đốc mạng FBI: Tội phạm nghiệp dư dùng AI còn nguy hiểm hơn cả chuyên gia

Cynthia Kaiser, người từng dành hai thập kỷ làm việc tại FBI để ngăn chặn các mối đe dọa mạng từ các cường quốc như Trung Quốc và Nga, thừa nhận bà là người "đến muộn" trong việc nhận thức tầm mức độ nghiêm trọng của ransomware (mã độc tống tiền). Hiện nay, với tư cách là Phó Chủ tịch tại Halcyon Ransomware Research Center, bà coi đây là mối đe dọa lớn nhất đối với doanh nghiệp và người dùng hiện nay.

Mối đe dọa từ các nhóm chuyên nghiệp và nhà nước

Theo Kaiser, ransomware không còn chỉ là vấn đề tài chính mà còn đe dọa đến tính mạng con người khi nhắm vào các bệnh viện. Trung tâm Nghiên cứu Ransomware của Halcyon đã điều tra các cuộc tấn công đa dạng, từ các nhóm liên kết chính phủ như Pay2Key (Iran) đến các nhóm tội phạm tài chính tinh vi như Akira.

Đối với nhóm Pay2Key, cuộc tấn công vào một tổ chức y tế tại Mỹ vào tháng 2 năm 2026 cho thấy tốc độ đáng sợ. Chúng chỉ mất 3 giờ để mã hóa toàn bộ môi trường mạng sau khi đã có quyền truy cập quản trị từ trước. Kaiser nhận định cuộc tấn công này có vẻ hướng tới sự phá hủy hơn là lợi nhuận tài chính, tương tự như các vụ tấn công vào Albania năm 2022.

Trong khi đó, các nhóm như Akira lại cực kỳ nhanh nhẹn và tinh vi. Chúng thường chuyển từ xâm nhập ban đầu đến mã hóa dữ liệu trong vòng chưa đầy một giờ. Đặc biệt, công cụ giải mã của Akira sử dụng hệ thống "checkpoint" (điểm kiểm tra) giúp đảm bảo các tệp lớn có thể được phục hồi ngay cả khi quá trình mã hóa bị gián đoạn. Điều này khiến việc trả tiền chuộc trở nên hấp dẫn hơn đối với nạn nhân.

Sự nguy hiểm của những kẻ nghiệp dư và AI

Tuy nhiên, Kaiser lo ngại nhất về một loại tội phạm khác mà bà gọi là "ransomware wannabes" (những kẻ nghiệp dư muốn làm tội phạm mạng). Một ví dụ điển hình là nhóm Sicarii, nổi bật với phần mềm độc hại đầy lỗi.

Mã độc của Sicarii tạo ra một cặp khóa mật mã mới mỗi lần thực thi nhưng sau đó lại loại bỏ khóa riêng tư. Điều này đồng nghĩa với việc không có khóa chủ nào có thể phục hồi được, khiến nạn nhân không bao giờ lấy lại được dữ liệu của mình.

"Bạn cần ba thứ để ransomware thành công: một cái khóa, một chiếc chìa khóa - thứ nạn nhân phải trả tiền - và khả năng đưa chìa khóa vào ổ khóa," Kaiser giải thích. "Chúng đã quên làm cái lỗ khóa, nên giờ đây nó trở thành phần mềm phá hủy."

Kaiser tin rằng những kẻ nghiệp dư này đã sử dụng AI, nhưng không giúp chúng viết mã tốt hơn mà thậm chí còn làm tình hình tồi tệ hơn.

"Chúng rõ ràng đã sử dụng AI ở mọi giai đoạn, sau đó nối chuỗi lại một cách vụng về - tôi không nghĩ chúng dùng một tác nhân AI, đó chỉ là lập trình tồi tệ ở mỗi bước," bà nói.

Điều làm cho những kẻ nghiệp dư này đáng sợ hơn cả các diễn viên tinh vi là sự gia tăng về khối lượng tấn công. Dù các cuộc tấn công này không lén lút và dễ kích hoạt cảnh báo an ninh, nhưng số lượng quá lớn có thể gây quá tải cho các chuyên gia IT.

"Bạn có một đám wannabes, và nếu chúng tăng hiệu quả từ 0% lên 5% hoặc 10%, đó là lợi ích lớn cho chúng. Nhưng đối với các chuyên gia an ninh trong tổ chức, mối đe dọa lớn nhất là khối lượng gia tăng của những cuộc tấn công tồi tệ này," Kaiser cảnh báo. Khi đội ngũ an ninh bận rộn xử lý các cuộc tấn công ồn ào nhưng kém chất lượng này, các mối đe dọa tinh vi hơn có thể dễ dàng lọt lưới.