Rabattilbud med flere licenser
Trusseldatabase Ransomware GLOBAL GROUP RaaS-drift

GLOBAL GROUP RaaS-drift

Med Mezo i Ransomware
Oversæt til:

Cybersikkerhedseksperter har afsløret en ny Ransomware-as-a-Service (RaaS)-operation kaldet GLOBAL GROUP. Siden begyndelsen af juni 2025 har denne kampagne aktivt været rettet mod organisationer i Australien, Brasilien, Europa og USA. Denne kampagne markerer en betydelig udvikling i ransomware-økosystemet.

Fra BlackLock til GLOBAL GROUP: En rebrandingstrategi

Trusselaktøren kendt som '$$$', der tidligere kontrollerede BlackLock RaaS og administrerede Mamona ransomware-operationen, står bag denne nye ordning. GLOBAL GROUP blev promoveret på Ramp4u-forummet og betragtes bredt som en rebranding af BlackLock, som selv stammer fra Eldorado.

Rebrandingen fulgte efter en hændelse i marts 2025, hvor BlackLocks hjemmeside med datalækage blev beskadiget af DragonForce-kartellet. Ved at introducere GLOBAL GROUP havde operatørerne til formål at modernisere deres infrastruktur, forbedre affiliate-appellen og genoprette troværdigheden.

Angrebstaktikker og indgangsvektorer

GLOBAL GROUP anvender en økonomisk motiveret tilgang ved at udnytte Initial Access Brokers (IAB'er) til netværksinfiltration. Disse mæglere leverer præ-kompromitteret adgang til virksomhedsnetværk, hvilket giver tilknyttede selskaber mulighed for at fokusere på ransomware-implementering og -forhandlinger i stedet for penetrationsindsats.

Nøgleteknikker omfatter:

  • Våbenbevæbning af adgang til sårbare Cisco-, Fortinet- og Palo Alto-edge-enheder
  • Brug af brute-force-værktøjer målrettet mod Microsoft Outlook og RDWeb-portaler
  • Opnåelse af RDP- eller webshell-adgang til advokatfirmaer og lignende mål

Når angriberne er inde, implementerer de værktøjer efter udnyttelse, udfører lateral bevægelse, eksfiltrerer følsomme data og starter ransomware-nyttelast.

Inde i RaaS-økosystemet

GLOBAL GROUP tilbyder et omfattende partnerpanel og en forhandlingsplatform. Partnerpanelet giver partnere mulighed for at:

  • Byg ransomware-nyttelaster til VMware ESXi, NAS, BSD og Windows.
  • Spor ofre og administrer operationer.
  • Brug mobilvenlige funktioner til administration i realtid.

Affiliates loves en andel på 85% af omsætningen, et attraktivt incitament til rekruttering. Forhandlingsportalen, drevet af AI-drevne chatbots, muliggør flersproget interaktion, hvilket gør det lettere for ikke-engelsktalende affiliates at interagere effektivt med ofrene.

Offerprofil og global indflydelse

Pr. 14. juli 2025 har GLOBAL GROUP kostet 17 ofre på tværs af forskellige sektorer, herunder:

  • Sundhedspleje
  • Fremstilling af olie- og gasudstyr
  • Industrielle maskiner og præcisionsteknik
  • Bilreparation og redningstjenester efter ulykker
  • Outsourcing af forretningsprocesser (BPO)

Teknisk DNA og evolution

Analyse afslører kodeligheder mellem GLOBAL GROUP og Mamona, samt brugen af den samme russiske VPS-udbyder (IpServer). Ransomwaren, skrevet i Go, har domæneomfattende installationsmuligheder, hvilket adskiller den fra tidligere versioner. Dette teknologiske skift understreger et strategisk skridt mod at udvide affiliate-engagementet og styrke operationel robusthed.

Hvorfor GLOBAL GROUP fremviser stigende risici

Lanceringen af GLOBAL GROUP illustrerer et bevidst pres fra ransomware-operatører for at innovere, herunder AI-drevne forhandlinger, brugerdefinerbare payload-buildere og avancerede affiliate-incitamenter. Denne modernisering signalerer et eskalerende våbenkapløb inden for ransomware-landskabet, der udgør en betydelig trussel mod det globale cybersikkerhedsforsvar.

Trending

Mest sete

Indlæser...