Operació RaaS de GRUP GLOBAL
Experts en ciberseguretat han descobert una nova operació de ransomware com a servei (RaaS) anomenada GLOBAL GROUP. Des de principis de juny de 2025, aquesta campanya s'ha dirigit activament a organitzacions d'Austràlia, Brasil, Europa i els Estats Units. Aquesta campanya marca una evolució significativa en l'ecosistema del ransomware.
Taula de continguts
De BlackLock a GLOBAL GROUP: una estratègia de canvi de marca
L'actor d'amenaces conegut com a "$$$", que anteriorment controlava el BlackLock RaaS i gestionava l'operació de ransomware Mamona, és el responsable d'aquest nou esquema. GLOBAL GROUP es va promocionar al fòrum Ramp4u i es considera àmpliament com un canvi de marca de BlackLock, que al seu torn es va originar a Eldorado.
El canvi de marca va sorgir després d'un incident al març del 2025, quan el càrtel de DragonForce va desfigurar el lloc web de filtracions de dades de BlackLock. Amb la introducció de GLOBAL GROUP, els operadors pretenien modernitzar la seva infraestructura, millorar l'atractiu dels afiliats i restaurar la credibilitat.
Tàctiques d’atac i vectors d’entrada
GLOBAL GROUP adopta un enfocament amb motivació financera aprofitant els Intermediaris d'Accés Inicial (IAB) per a la infiltració a la xarxa. Aquests intermediaris proporcionen accés pre-compromès a les xarxes corporatives, permetent als afiliats centrar-se en el desplegament i les negociacions de ransomware en lloc dels esforços de penetració.
Les tècniques clau inclouen:
- Armes per a l'accés a dispositius vulnerables de Cisco, Fortinet i Palo Alto
- Ús d'utilitats de força bruta dirigides a portals de Microsoft Outlook i RDWeb
- Adquisició d'accés al protocol d'escriptori remot (RDP) o a la shell web per a bufets d'advocats i objectius similars
Un cop a dins, els atacants despleguen eines de postexplotació, realitzen moviments laterals, exfiltren dades sensibles i llancen càrregues de ransomware.
Dins de l’ecosistema RaaS
GLOBAL GROUP ofereix un ampli panell d'afiliats i una plataforma de negociació. El panell d'afiliats permet als socis:
- Crea càrregues útils de ransomware per a VMware ESXi, NAS, BSD i Windows.
- Rastrejar les víctimes i gestionar les operacions.
- Utilitzeu funcions adaptades per a mòbils per a la gestió en temps real.
Es promet als afiliats una quota d'ingressos del 85%, un incentiu atractiu per a la contractació. El portal de negociació, impulsat per chatbots basats en intel·ligència artificial, permet la interacció multilingüe, cosa que facilita que els afiliats que no parlen anglès puguin interactuar amb les víctimes de manera efectiva.
Perfil de la víctima i impacte global
A data de 14 de juliol de 2025, GLOBAL GROUP s'havia cobrat 17 víctimes en diversos sectors, incloent-hi:
- Assistència sanitària
- Fabricació d'equips de petroli i gas
- Maquinària Industrial i Enginyeria de Precisió
- Serveis de reparació d'automòbils i recuperació d'accidents
- Externalització de processos de negoci (BPO)
ADN tècnic i evolució
L'anàlisi revela similituds de codi entre GLOBAL GROUP i Mamona, així com l'ús del mateix proveïdor de VPS rus (IpServer). El ransomware, escrit en Go, ofereix capacitats d'instal·lació a tot el domini, cosa que el diferencia de les versions anteriors. Aquest canvi tecnològic subratlla un moviment estratègic per ampliar la participació dels afiliats i augmentar la resiliència operativa.
Per què GLOBAL GROUP mostra riscos creixents
El llançament de GLOBAL GROUP il·lustra una empenta deliberada per part dels operadors de ransomware per innovar, incorporant negociacions basades en IA, creadors de càrrega útil personalitzables i incentius avançats per a afiliats. Aquesta modernització indica una escalada de la cursa armamentística dins del panorama del ransomware, cosa que representa una amenaça important per a les defenses globals de ciberseguretat.
