Các vụ tấn công ransomware gia tăng trên toàn cầu đang khiến nhiều doanh nghiệp tìm đến dịch vụ đàm phán với tin tặc, như một phần trong quy trình ứng phó sự cố an ninh mạng.

Theo Financial Times ngày 5/4 (giờ địa phương), các cuộc tấn công nhắm vào những tập đoàn lớn đang tăng mạnh, kéo theo nhu cầu đối với đội ngũ đàm phán ransomware do các hãng bảo mật như Palo Alto Networks và Sophos cung cấp. Thông tin được Financial Times dẫn từ các nguồn thạo tin.

Dan Saunders, Giám đốc ứng phó sự cố tại Quorum Cyber, cho biết người đàm phán thường đảm nhiệm ba nhiệm vụ chính: câu giờ, hỗ trợ ban lãnh đạo đưa ra quyết định và thu thập thông tin để xác định danh tính kẻ tấn công.

“Tham gia đàm phán không đồng nghĩa với việc phải trả tiền chuộc”, ông nói.

Theo Financial Times, các nhà đàm phán thường giả làm nhân viên IT cấp thấp hoặc chỉ gửi một đến hai tin nhắn mỗi ngày nhằm kéo chậm tiến trình thương lượng. Một nhà đàm phán của Sophos nhận định công việc này “giống một điệu nhảy tinh vi hơn là một cuộc đàm phán”, đồng thời cảnh báo chỉ một sai sót nhỏ cũng có thể gây tổn thất nghiêm trọng cho khách hàng.

Quá trình đàm phán thường kéo dài từ 3 ngày đến 3 tuần, diễn ra qua các cổng trên web đen, email hoặc ứng dụng nhắn tin mã hóa TOX.chat.

Sophos cho biết tội phạm mạng thường đưa ra mức tiền chuộc tương đương 1%-2% doanh thu hằng năm của doanh nghiệp bị tấn công. Trong quá trình này, các nhà đàm phán không chỉ tìm cách hạ mức đòi tiền chuộc mà còn lần theo địa chỉ IP và ví tiền mã hóa để nhận diện đối phương. Nhiều người trong số họ từng làm việc trong lực lượng thực thi pháp luật và tận dụng kỹ năng tích lũy từ giai đoạn trước.

Don Wiper của Digital Mint cho rằng tội phạm mạng “thường còn trẻ và hành xử thiếu chín chắn”, phần lớn ở tuổi vị thành niên hoặc ngoài 20 tuổi. Ông cũng cho biết từng có trường hợp tin tặc gửi bánh kèm lời cảm ơn sau khi nhận tiền chuộc.

Các chuyên gia nhấn mạnh trước khi cân nhắc chi trả, doanh nghiệp cần thẩm định kỹ yếu tố pháp lý để tránh vi phạm các lệnh trừng phạt quốc tế. Jonathan Kewley, đối tác của Clifford Chance, nhận định quy trình rà soát tuân thủ lệnh trừng phạt là “rất phức tạp và khắt khe”.

Một rủi ro khác là ngay cả khi trả tiền, doanh nghiệp cũng không có gì bảo đảm tin tặc sẽ thực hiện đúng cam kết.

Theo báo cáo ransomware của Sophos, tỷ lệ vụ tấn công có phát sinh trả tiền chuộc trong năm 2025 đã giảm xuống dưới 50%, từ mức 56% của năm 2024. Xu hướng này được cho là phản ánh việc doanh nghiệp sử dụng chuyên gia đàm phán nhiều hơn, đồng thời mở rộng các biện pháp phòng ngừa như sao lưu dữ liệu.