عملیات RaaS گروه جهانی

کارشناسان امنیت سایبری یک عملیات جدید باج‌افزار به عنوان سرویس (RaaS) به نام GLOBAL GROUP را کشف کرده‌اند. از اوایل ژوئن ۲۰۲۵، این کمپین به طور فعال سازمان‌هایی را در سراسر استرالیا، برزیل، اروپا و ایالات متحده هدف قرار داده است. این کمپین نشان‌دهنده تکامل قابل توجهی در اکوسیستم باج‌افزار است.

از بلک‌لاک تا گلوبال گروپ: یک استراتژی تغییر برند

عامل تهدید معروف به «$$$» که پیش از این کنترل BlackLock RaaS و مدیریت عملیات باج‌افزار Mamona را بر عهده داشت، پشت این طرح جدید است. GLOBAL GROUP در انجمن Ramp4u تبلیغ شد و به طور گسترده به عنوان یک تغییر نام تجاری از BlackLock در نظر گرفته می‌شود که خود از Eldorado سرچشمه گرفته است.

این تغییر نام تجاری پس از حادثه‌ای در مارس ۲۰۲۵ رخ داد، زمانی که سایت نشت داده‌های بلک‌لاک توسط کارتل دراگون‌فورس (DragonForce) هک شد. با معرفی GLOBAL GROUP، اپراتورها قصد داشتند زیرساخت‌های خود را مدرن کنند، جذابیت وابسته را افزایش دهند و اعتبار خود را بازیابند.

تاکتیک‌های حمله و مسیرهای ورود

گروه جهانی (GLOBAL GROUP) با استفاده از کارگزاران دسترسی اولیه (IAB) برای نفوذ به شبکه، رویکردی با انگیزه مالی اتخاذ می‌کند. این کارگزاران دسترسی از پیش تعیین‌شده به شبکه‌های شرکتی را فراهم می‌کنند و به شرکت‌های وابسته اجازه می‌دهند تا به جای تلاش‌های نفوذ، بر استقرار و مذاکرات باج‌افزار تمرکز کنند.

تکنیک‌های کلیدی عبارتند از:

• سوءاستفاده از دسترسی به تجهیزات آسیب‌پذیر سیسکو، فورتی‌نت و پالو آلتو به عنوان سلاح
• استفاده از ابزارهای جستجوی فراگیر (brute-force) که پورتال‌های Microsoft Outlook و RDWeb را هدف قرار می‌دهند
• دستیابی به پروتکل ریموت دسکتاپ (RDP) یا دسترسی وب شل برای شرکت‌های حقوقی و اهداف مشابه

مهاجمان پس از ورود، ابزارهای پس از بهره‌برداری را مستقر می‌کنند، حرکات جانبی انجام می‌دهند، داده‌های حساس را استخراج می‌کنند و بارهای باج‌افزار را راه‌اندازی می‌کنند.

درون اکوسیستم RaaS

گروه جهانی (GLOBAL GROUP) یک پنل همکاری در فروش گسترده و پلتفرم مذاکره ارائه می‌دهد. این پنل همکاری در فروش، شرکا را قادر می‌سازد تا:

• ساخت پیلودهای باج‌افزار برای VMware ESXi، NAS، BSD و ویندوز.
• قربانیان را ردیابی و عملیات را مدیریت کنید.
• از ویژگی‌های سازگار با موبایل برای مدیریت بلادرنگ استفاده کنید.

به شرکت‌های وابسته ۸۵٪ سهم درآمد وعده داده می‌شود که انگیزه‌ای جذاب برای جذب نیرو است. پورتال مذاکره، که توسط چت‌بات‌های مبتنی بر هوش مصنوعی پشتیبانی می‌شود، امکان تعامل چندزبانه را فراهم می‌کند و تعامل مؤثر با قربانیان را برای شرکت‌های وابسته غیرانگلیسی‌زبان آسان‌تر می‌کند.

مشخصات قربانی و تأثیر جهانی

تا ۱۴ ژوئیه ۲۰۲۵، گروه گلوبال ۱۷ قربانی در بخش‌های مختلف از جمله موارد زیر داشته است:

• بهداشت و درمان
• ساخت تجهیزات نفت و گاز
• ماشین آلات صنعتی و مهندسی دقیق
• خدمات تعمیر خودرو و بازیابی اطلاعات از تصادفات
• برون‌سپاری فرآیندهای کسب و کار (BPO)

دی‌ان‌ای فنی و تکامل

تجزیه و تحلیل‌ها، شباهت‌های کد بین GLOBAL GROUP و Mamona و همچنین استفاده از همان ارائه‌دهنده VPS روسی (IpServer) را نشان می‌دهد. این باج‌افزار که به زبان Go نوشته شده است، دارای قابلیت‌های نصب در سطح دامنه است که آن را از نسخه‌های قبلی متمایز می‌کند. این تغییر فناوری، حرکتی استراتژیک برای گسترش تعامل وابسته و تقویت تاب‌آوری عملیاتی را برجسته می‌کند.

چرا گروه جهانی، ریسک‌های فزاینده را به نمایش می‌گذارد؟

راه‌اندازی GLOBAL GROUP نشان‌دهنده‌ی تلاش عمدی اپراتورهای باج‌افزار برای نوآوری، شامل مذاکرات مبتنی بر هوش مصنوعی، سازندگان بار داده‌ی قابل تنظیم و مشوق‌های پیشرفته‌ی وابسته است. این نوسازی نشان‌دهنده‌ی یک مسابقه‌ی تسلیحاتی فزاینده در چشم‌انداز باج‌افزار است که تهدیدی قابل توجه برای دفاع از امنیت سایبری جهانی محسوب می‌شود.