GLOBAALIN KONSERNIN RaaS-operaatio
Kyberturvallisuusasiantuntijat ovat paljastaneet uuden Ransomware-as-a-Service (RaaS) -operaation nimeltä GLOBAL GROUP. Kesäkuun 2025 alusta lähtien tämä kampanja on aktiivisesti kohdistanut hyökkäyksiä organisaatioihin Australiassa, Brasiliassa, Euroopassa ja Yhdysvalloissa. Tämä kampanja merkitsee merkittävää kehitystä kiristysohjelmaekosysteemissä.
Sisällysluettelo
BlackLockista GLOBAL GROUPiksi: Uudelleenbrändäysstrategia
Tämän uuden järjestelmän takana on uhkatoimija nimeltä '$$$', joka aiemmin hallitsi BlackLock RaaS:ia ja hallinnoi Mamona-kiristysohjelmaoperaatiota. GLOBAL GROUPia mainostettiin Ramp4u-foorumilla, ja sitä pidetään laajalti BlackLockin uudelleenbrändäyksenä, joka itse oli peräisin Eldoradosta.
Uudelleenbrändäys seurasi maaliskuussa 2025 tapahtunutta välikohtausta, jossa DragonForce-kartelli turmeli BlackLockin tietovuotosivuston. GLOBAL GROUPin käyttöönotolla operaattorit pyrkivät modernisoimaan infrastruktuuriaan, parantamaan kumppanuusmarkkinoinnin vetovoimaa ja palauttamaan uskottavuuden.
Hyökkäystaktiikat ja sisäänpääsyvektorit
GLOBAL GROUP omaksuu taloudellisesti motivoituneen lähestymistavan hyödyntämällä Initial Access Brokers (IAB) -välittäjiä verkkoon tunkeutumiseen. Nämä välittäjät tarjoavat valmiiksi murrettuja pääsyjä yritysten verkkoihin, jolloin tytäryhtiöt voivat keskittyä kiristysohjelmien käyttöönottoon ja neuvotteluihin tunkeutumistoimien sijaan.
Keskeisiä tekniikoita ovat:
- Aseena käytettävät haavoittuvaiset Ciscon, Fortinetin ja Palo Alton reunalaitteet
- Brute force -apuohjelmien käyttö Microsoft Outlook- ja RDWeb-portaaleihin kohdistuen
- Etätyöpöytäprotokollan (RDP) tai web-kuoren käyttöoikeuksien hankkiminen asianajotoimistoille ja vastaaville kohteille
Sisällä hyökkääjät ottavat käyttöön hyväksikäytön jälkeisiä työkaluja, suorittavat sivuttaisliikettä, vuotavat arkaluonteisia tietoja ja käynnistävät kiristyshaittaohjelmia.
RaaS-ekosysteemin sisällä
GLOBAL GROUP tarjoaa laajan kumppanuuspaneelin ja neuvottelualustan. Kumppanuuspaneeli antaa kumppaneille mahdollisuuden:
- Luo kiristysohjelmien hyötykuormia VMware ESXi:lle, NAS:lle, BSD:lle ja Windowsille.
- Seuraa uhreja ja hallinnoi toimintoja.
- Hyödynnä mobiiliystävällisiä ominaisuuksia reaaliaikaiseen hallintaan.
Kumppaneille luvataan 85 prosentin osuus tuloista, mikä on houkutteleva kannustin rekrytointiin. Tekoälypohjaisten chatbottien ylläpitämä neuvotteluportaali mahdollistaa monikielisen vuorovaikutuksen, mikä helpottaa ei-englanninkielisten kumppaneiden tehokasta vuorovaikutusta uhrien kanssa.
Uhrin profiili ja globaali vaikutus
GLOBAL GROUP on 14. heinäkuuta 2025 mennessä vaatinut 17 uhria eri toimialoilla, mukaan lukien:
- Terveydenhuolto
- Öljy- ja kaasulaitteiden valmistus
- Teollisuuskoneet ja tarkkuustekniikka
- Autokorjaus ja onnettomuuksien jälkeinen hinaus
- Liiketoimintaprosessien ulkoistaminen (BPO)
Tekninen DNA ja evoluutio
Analyysi paljastaa GLOBAL GROUPin ja Mamonan koodien samankaltaisuuksia sekä saman venäläisen VPS-palveluntarjoajan (IpServer) käytön. Go-kielellä kirjoitettu kiristyshaittaohjelma mahdollistaa koko verkkotunnuksen kattavan asennusominaisuuden, mikä erottaa sen aiemmista versioista. Tämä teknologinen muutos korostaa strategista pyrkimystä laajentaa kumppanuusmarkkinointia ja parantaa toiminnan sietokykyä.
Miksi GLOBAL GROUP esittelee kasvavia riskejä
GLOBAL GROUPin lanseeraus osoittaa kiristyshaittaohjelmien operaattoreiden tietoista pyrkimystä innovointiin, mukaan lukien tekoälyllä toimivat neuvottelut, mukautettavat hyötykuorman rakentajat ja edistyneet kumppanuuskannustimet. Tämä modernisaatio viestii kiihtyvästä asevarustelusta kiristyshaittaohjelmien alalla ja aiheuttaa merkittävän uhan maailmanlaajuiselle kyberturvallisuuspuolustukselle.
