Λειτουργία RaaS ΠΑΓΚΟΣΜΙΟΥ ΟΜΙΛΟΥ
Οι ειδικοί στον κυβερνοχώρο αποκάλυψαν μια νέα επιχείρηση Ransomware-as-a-Service (RaaS) που ονομάζεται GLOBAL GROUP. Από τις αρχές Ιουνίου 2025, αυτή η εκστρατεία στοχεύει ενεργά οργανισμούς σε όλη την Αυστραλία, τη Βραζιλία, την Ευρώπη και τις Ηνωμένες Πολιτείες. Αυτή η εκστρατεία σηματοδοτεί μια σημαντική εξέλιξη στο οικοσύστημα του ransomware.
Πίνακας περιεχομένων
Από το BlackLock στον ΠΑΓΚΟΣΜΙΟ ΟΜΙΛΟ: Μια Στρατηγική Ανασχεδιασμού Εταιρικής Σχέσης
Ο απειλητικός παράγοντας γνωστός ως «$$$», ο οποίος προηγουμένως έλεγχε το BlackLock RaaS και διαχειριζόταν την επιχείρηση ransomware Mamona, βρίσκεται πίσω από αυτό το νέο σχέδιο. Η GLOBAL GROUP προωθήθηκε στο φόρουμ Ramp4u και θεωρείται ευρέως ως μετονομασία της BlackLock, η οποία προέρχεται από την Eldorado.
Η αλλαγή επωνυμίας ακολούθησε ένα περιστατικό τον Μάρτιο του 2025, όταν ο ιστότοπος διαρροής δεδομένων της BlackLock παραβιάστηκε από το καρτέλ DragonForce. Με την εισαγωγή του GLOBAL GROUP, οι πάροχοι στόχευαν στον εκσυγχρονισμό της υποδομής τους, στην ενίσχυση της ελκυστικότητας των συνεργατών και στην αποκατάσταση της αξιοπιστίας τους.
Τακτικές Επίθεσης και Διανύσματα Εισόδου
Η GLOBAL GROUP υιοθετεί μια οικονομικά κίνητρα, αξιοποιώντας τους Initial Access Brokers (IABs) για διείσδυση δικτύου. Αυτοί οι brokers παρέχουν προ-παραβιασμένη πρόσβαση σε εταιρικά δίκτυα, επιτρέποντας στις θυγατρικές να επικεντρωθούν στην ανάπτυξη και τις διαπραγματεύσεις ransomware αντί για προσπάθειες διείσδυσης.
Οι βασικές τεχνικές περιλαμβάνουν:
- Χρήση όπλων για την πρόσβαση σε ευάλωτες συσκευές Cisco, Fortinet και Palo Alto edge
- Χρήση βοηθητικών προγραμμάτων brute-force που στοχεύουν σε πύλες Microsoft Outlook και RDWeb
- Απόκτηση πρόσβασης σε πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) ή σε κέλυφος ιστού για δικηγορικά γραφεία και παρόμοιους στόχους
Μόλις εισέλθουν στο εσωτερικό, οι επιτιθέμενοι αναπτύσσουν εργαλεία μετά την εκμετάλλευση, εκτελούν πλευρικές κινήσεις, κλέβουν ευαίσθητα δεδομένα και εκτοξεύουν φορτία ransomware.
Μέσα στο οικοσύστημα RaaS
Η GLOBAL GROUP προσφέρει ένα εκτεταμένο πάνελ συνεργατών και μια πλατφόρμα διαπραγμάτευσης. Το πάνελ συνεργατών δίνει τη δυνατότητα στους συνεργάτες να:
- Δημιουργήστε φορτία ransomware για VMware ESXi, NAS, BSD και Windows.
- Παρακολούθηση θυμάτων και διαχείριση επιχειρήσεων.
- Χρησιμοποιήστε λειτουργίες φιλικές προς κινητά για διαχείριση σε πραγματικό χρόνο.
Στους συνεργάτες υπόσχεται μερίδιο εσόδων 85%, ένα ελκυστικό κίνητρο για προσλήψεις. Η πύλη διαπραγμάτευσης, που υποστηρίζεται από chatbots που βασίζονται σε τεχνητή νοημοσύνη, επιτρέπει την πολύγλωσση αλληλεπίδραση, διευκολύνοντας τους μη αγγλόφωνους συνεργάτες να αλληλεπιδρούν αποτελεσματικά με τα θύματα.
Προφίλ θύματος και παγκόσμιος αντίκτυπος
Μέχρι τις 14 Ιουλίου 2025, η GLOBAL GROUP είχε 17 θύματα σε διάφορους τομείς, όπως:
- Υγειονομική περίθαλψη
- Κατασκευή εξοπλισμού πετρελαίου και φυσικού αερίου
- Βιομηχανικά Μηχανήματα και Μηχανική Ακριβείας
- Υπηρεσίες επισκευής αυτοκινήτων και αποκατάστασης ατυχημάτων
- Εξωτερική Ανάθεση Επιχειρηματικών Διαδικασιών (BPO)
Τεχνικό DNA και Εξέλιξη
Η ανάλυση αποκαλύπτει ομοιότητες στον κώδικα μεταξύ του GLOBAL GROUP και του Mamona, καθώς και τη χρήση του ίδιου ρωσικού παρόχου VPS (IpServer). Το ransomware, γραμμένο σε Go, διαθέτει δυνατότητες εγκατάστασης σε ολόκληρο τον τομέα, γεγονός που το διαφοροποιεί από προηγούμενες εκδόσεις. Αυτή η τεχνολογική μετατόπιση υπογραμμίζει μια στρατηγική κίνηση για την επέκταση της εμπλοκής των συνεργατών και την ενίσχυση της επιχειρησιακής ανθεκτικότητας.
Γιατί η GLOBAL GROUP παρουσιάζει αυξανόμενους κινδύνους
Η έναρξη λειτουργίας του GLOBAL GROUP καταδεικνύει μια σκόπιμη ώθηση από τους φορείς εκμετάλλευσης ransomware για καινοτομία, ενσωματώνοντας διαπραγματεύσεις με τεχνητή νοημοσύνη, προσαρμόσιμους δημιουργούς ωφέλιμου φορτίου και προηγμένα κίνητρα συνεργατών. Αυτός ο εκσυγχρονισμός σηματοδοτεί μια κλιμακούμενη κούρσα εξοπλισμών στο τοπίο του ransomware, θέτοντας μια σημαντική απειλή για τις παγκόσμιες άμυνες κυβερνοασφάλειας.
