ГЛОБАЛНА ГРУПА RaaS операция
Експерти по киберсигурност разкриха нова операция „Ransomware-as-a-Service“ (RaaS), наречена GLOBAL GROUP. От началото на юни 2025 г. тази кампания е активно насочена към организации в Австралия, Бразилия, Европа и Съединените щати. Тази кампания бележи значителна еволюция в екосистемата на ransomware.
Съдържание
От BlackLock до GLOBAL GROUP: Стратегия за ребрандиране
Злоумишленикът, известен като „$$$“, който преди това е контролирал BlackLock RaaS и е управлявал операцията с рансъмуер вируса Mamona, стои зад тази нова схема. GLOBAL GROUP беше рекламирана във форума Ramp4u и е широко смятана за ребренд на BlackLock, който самият той произхожда от Eldorado.
Ребрандирането последва инцидент през март 2025 г., когато сайтът за изтичане на данни на BlackLock беше обезобразен от картела DragonForce. С въвеждането на GLOBAL GROUP, операторите се стремяха да модернизират своята инфраструктура, да подобрят привлекателността на партньорите и да възстановят доверието.
Тактики на атака и вектори за влизане
GLOBAL GROUP възприема финансово мотивиран подход, като използва брокери за първоначален достъп (IAB) за мрежова инфилтрация. Тези брокери предоставят предварително компрометиран достъп до корпоративните мрежи, което позволява на филиалите да се съсредоточат върху внедряването и преговорите за ransomware, а не върху усилията за проникване.
Ключовите техники включват:
- Превръщане на достъпа до уязвими периферни устройства на Cisco, Fortinet и Palo Alto в оръжие
- Използване на помощни програми за груба сила, насочени към портали на Microsoft Outlook и RDWeb
- Придобиване на достъп до протокол за отдалечен работен плот (RDP) или уеб обвивка за адвокатски кантори и подобни цели
Веднъж щом влязат вътре, нападателите разполагат с инструменти за пост-експлоатация, извършват странично движение, извличат чувствителни данни и стартират ransomware полезни товари.
Вътре в екосистемата на RaaS
GLOBAL GROUP предлага богат партньорски панел и платформа за преговори. Партньорският панел дава възможност на партньорите да:
- Създайте полезни товари за ransomware за VMware ESXi, NAS, BSD и Windows.
- Проследявайте жертвите и управлявайте операциите.
- Използвайте мобилни функции за управление в реално време.
На партньорите се обещава 85% дял от приходите, което е атрактивен стимул за набиране на персонал. Порталът за преговори, задвижван от чатботове, управлявани от изкуствен интелект, позволява многоезично взаимодействие, което улеснява партньорите, които не говорят английски, да общуват ефективно с жертвите.
Профил на жертвата и глобално въздействие
Към 14 юли 2025 г. GLOBAL GROUP е заявила 17 жертви в различни сектори, включително:
- Здравеопазване
- Производство на оборудване за нефт и газ
- Индустриални машини и прецизно инженерство
- Автомобилен ремонт и услуги за възстановяване след произшествия
- Аутсорсинг на бизнес процеси (BPO)
Техническа ДНК и еволюция
Анализът разкрива сходства в кода между GLOBAL GROUP и Mamona, както и използването на един и същ руски VPS доставчик (IpServer). Рансъмуерът, написан на Go, предлага възможности за инсталиране в целия домейн, което го отличава от по-ранните версии. Тази технологична промяна подчертава стратегически ход за разширяване на ангажираността на партньорите и повишаване на оперативната устойчивост.
Защо GLOBAL GROUP демонстрира нарастващи рискове
Стартирането на GLOBAL GROUP илюстрира целенасочен стремеж на операторите на ransomware към иновации, включващи преговори, задвижвани от изкуствен интелект, персонализируеми конструктори на полезни товари и усъвършенствани партньорски стимули. Тази модернизация сигнализира за ескалираща надпревара във въоръжаването в рамките на ransomware пейзажа, представляваща сериозна заплаха за глобалната киберсигурност.
