مجموعة عالمية لعمليات RaaS
كشف خبراء الأمن السيبراني عن عملية جديدة لبرامج الفدية كخدمة (RaaS) تُسمى GLOBAL GROUP. منذ أوائل يونيو 2025، استهدفت هذه الحملة بنشاط مؤسسات في أستراليا والبرازيل وأوروبا والولايات المتحدة. تُمثل هذه الحملة تطورًا هامًا في منظومة برامج الفدية.
جدول المحتويات
من بلاك لوك إلى المجموعة العالمية: استراتيجية إعادة صياغة العلامة التجارية
يقف وراء هذا المخطط الجديد مُصنِّع التهديد المعروف باسم "$$$"، والذي كان يُسيطر سابقًا على خدمة BlackLock RaaS ويُدير عملية برنامج الفدية Mamona. وقد تم الترويج لمجموعة GLOBAL GROUP على منتدى Ramp4u، ويُعتبر على نطاق واسع إعادة تسمية لشركة BlackLock، التي نشأت بدورها من Eldorado.
جاء تغيير العلامة التجارية عقب حادثة وقعت في مارس 2025، عندما قام كارتل DragonForce بتخريب موقع تسريب بيانات BlackLock. ومن خلال إطلاق GLOBAL GROUP، كان المشغلون يهدفون إلى تحديث بنيتهم التحتية، وتعزيز جاذبية التسويق بالعمولة، واستعادة مصداقيتهم.
تكتيكات الهجوم ومتجهات الدخول
تتبنى مجموعة جلوبال نهجًا مدفوعًا بالربح المادي من خلال الاستعانة بوسطاء الوصول الأولي (IABs) لاختراق الشبكات. يوفر هؤلاء الوسطاء وصولًا مُسبقًا إلى شبكات الشركات، مما يسمح للشركات التابعة بالتركيز على نشر برامج الفدية والتفاوض عليها بدلًا من جهود الاختراق.
تتضمن التقنيات الرئيسية ما يلي:
- تسليح الوصول إلى الأجهزة الطرفية الضعيفة من Cisco وFortinet وPalo Alto
- استخدام أدوات القوة الغاشمة التي تستهدف بوابات Microsoft Outlook وRDWeb
- الحصول على بروتوكول سطح المكتب البعيد (RDP) أو الوصول إلى واجهة الويب لمكاتب المحاماة والأهداف المماثلة
بمجرد دخولهم، يقوم المهاجمون بنشر أدوات ما بعد الاستغلال، ويقومون بحركة جانبية، ويستخلصون البيانات الحساسة، ويطلقون حمولات برامج الفدية.
داخل نظام RaaS البيئي
تقدم مجموعة جلوبال منصة شاملة للشراكات التابعة ومنصة تفاوض. تُمكّن هذه المنصة الشركاء من:
- إنشاء حمولات برامج الفدية لـ VMware ESXi وNAS وBSD وWindows.
- تتبع الضحايا وإدارة العمليات.
- استخدم ميزات الهاتف المحمول لإدارة الوقت الفعلي.
يُوعد الشركاء التابعون بحصة 85% من الإيرادات، وهو حافزٌ مغرٍ للتجنيد. تتيح بوابة التفاوض، المدعومة ببرامج دردشة آلية تعمل بالذكاء الاصطناعي، تفاعلًا متعدد اللغات، مما يُسهّل على الشركاء غير الناطقين باللغة الإنجليزية التواصل مع الضحايا بفعالية.
ملف الضحية والتأثير العالمي
اعتبارًا من 14 يوليو 2025، أودت مجموعة GLOBAL GROUP بحياة 17 ضحية في قطاعات مختلفة، بما في ذلك:
- الرعاية الصحية
- تصنيع معدات النفط والغاز
- الآلات الصناعية والهندسة الدقيقة
- خدمات إصلاح السيارات واسترداد الأضرار الناتجة عن الحوادث
- الاستعانة بمصادر خارجية لعمليات الأعمال (BPO)
الحمض النووي التقني والتطور
يكشف التحليل عن تشابه في برمجيات GLOBAL GROUP وMamona، بالإضافة إلى استخدام مزود خدمة VPS الروسي نفسه (IpServer). يتميز برنامج الفدية، المكتوب بلغة Go، بإمكانية تثبيت على مستوى النطاق، مما يجعله متميزًا عن الإصدارات السابقة. يؤكد هذا التحول التكنولوجي على خطوة استراتيجية لتوسيع نطاق مشاركة الشركاء التابعين وتعزيز المرونة التشغيلية.
لماذا تُبرز مجموعة جلوبال المخاطر المتزايدة؟
يُظهر إطلاق GLOBAL GROUP سعيًا مُتعمّدًا من مُشغّلي برامج الفدية نحو الابتكار، مُدمجين بذلك مفاوضات مُدعّمة بالذكاء الاصطناعي، وأدوات بناء حمولات قابلة للتخصيص، وحوافز مُتقدّمة للشركاء التابعين. يُشير هذا التحديث إلى تصاعد سباق التسلح في مجال برامج الفدية، مُشكّلًا تهديدًا كبيرًا لدفاعات الأمن السيبراني العالمية.
