Provoz RaaS od GLOBÁLNÍ SKUPINY
Odborníci na kybernetickou bezpečnost odhalili novou operaci Ransomware-as-a-Service (RaaS) s názvem GLOBAL GROUP. Od začátku června 2025 se tato kampaň aktivně zaměřuje na organizace v Austrálii, Brazílii, Evropě a Spojených státech. Tato kampaň představuje významný vývoj v ekosystému ransomwaru.
Obsah
Od BlackLocku ke GLOBAL GROUP: Strategie rebrandingu
Za tímto novým schématem stojí útočník známý jako „$$$“, který dříve ovládal BlackLock RaaS a řídil operaci s ransomwarem Mamona. GLOBAL GROUP byla propagována na fóru Ramp4u a je všeobecně považována za rebranding BlackLock, který sám vznikl z Eldorada.
Rebranding následoval po incidentu v březnu 2025, kdy kartel DragonForce poškodil web BlackLock s únikem dat. Zavedením GLOBAL GROUP se provozovatelé snažili modernizovat svou infrastrukturu, zvýšit atraktivitu pro affiliate partnery a obnovit důvěryhodnost.
Taktika útoku a vstupní vektory
Společnost GLOBAL GROUP využívá finančně motivovaný přístup využíváním zprostředkovatelů prvotního přístupu (IAB) k infiltraci sítí. Tito zprostředkovatelé poskytují předem kompromitovaný přístup do podnikových sítí, což umožňuje přidruženým společnostem soustředit se na nasazení ransomwaru a vyjednávání spíše než na úsilí o penetraci.
Mezi klíčové techniky patří:
- Zneužití přístupu k zranitelným zařízením edge computingu od společností Cisco, Fortinet a Palo Alto
- Používání utilit hrubé síly zaměřených na portály Microsoft Outlook a RDWeb
- Získání přístupu k protokolu RDP (Remote Desktop Protocol) nebo webovému shellu pro právnické firmy a podobné cíle
Jakmile se útočníci dostanou dovnitř, nasadí nástroje pro následné zneužití, provádějí laterální přesun, odcizují citlivá data a spouštějí ransomwarové balíčky.
Uvnitř ekosystému RaaS
GLOBAL GROUP nabízí rozsáhlý partnerský panel a platformu pro vyjednávání. Partnerský panel umožňuje partnerům:
- Vytvářejte datové části ransomwaru pro VMware ESXi, NAS, BSD a Windows.
- Sledujte oběti a řiďte operace.
- Využívejte funkce optimalizované pro mobilní zařízení pro správu v reálném čase.
Partnerům je slíben 85% podíl na příjmech, což je atraktivní pobídka pro nábor. Vyjednávací portál, poháněný chatboty s umělou inteligencí, umožňuje vícejazyčnou interakci, což usnadňuje partnerům, kteří nemluví anglicky, efektivní komunikaci s oběťmi.
Profil oběti a globální dopad
K 14. červenci 2025 si společnost GLOBAL GROUP vyžádala 17 obětí v různých odvětvích, včetně:
- Zdravotní péče
- Výroba zařízení pro ropu a plyn
- Průmyslové stroje a přesné strojírenství
- Opravy automobilů a odtahové služby po nehodách
- Outsourcing obchodních procesů (BPO)
Technická DNA a evoluce
Analýza odhaluje podobnosti kódu mezi GLOBAL GROUP a Mamonou, stejně jako použití stejného ruského poskytovatele VPS (IpServer). Ransomware, napsaný v jazyce Go, nabízí možnosti instalace na úrovni celé domény, což ho odlišuje od dřívějších verzí. Tento technologický posun podtrhuje strategický krok k rozšíření zapojení affiliate partnerů a zvýšení provozní odolnosti.
Proč GLOBAL GROUP upozorňuje na rostoucí rizika
Spuštění GLOBAL GROUP ilustruje záměrný tlak provozovatelů ransomwaru na inovace, které zahrnují vyjednávání s využitím umělé inteligence, přizpůsobitelné nástroje pro tvorbu dat a pokročilé pobídky pro affiliate partnery. Tato modernizace signalizuje stupňující se závody ve zbrojení v oblasti ransomwaru, což představuje významnou hrozbu pro globální kybernetickou bezpečnost.
