GLOBÁLIS CSOPORT RaaS Működés
Kiberbiztonsági szakértők lelepleztek egy új, GLOBAL GROUP nevű zsarolóvírus-szolgáltatásként (RaaS) műveletet. 2025 június eleje óta ez a kampány aktívan célba veszi a zsarolóvírus-ökoszisztéma szervezeteit Ausztráliában, Brazíliában, Európában és az Egyesült Államokban. Ez a kampány jelentős evolúciót jelez a zsarolóvírus-ökoszisztémában.
Tartalomjegyzék
A BlackLock-tól a GLOBAL GROUP-ig: márkaátalakítási stratégia
A korábban a BlackLock RaaS-t irányító és a Mamona zsarolóvírus-műveletet irányító „$$$” néven ismert fenyegető áll az új rendszer mögött. A GLOBAL GROUP-ot a Ramp4u fórumon népszerűsítették, és széles körben a BlackLock átnevezésének tekintik, amely maga is az Eldoradóból származik.
Az átnevezésre egy 2025 márciusában történt incidenst követően került sor, amikor a BlackLock adatszivárogtató oldalát a DragonForce kartell megrongálta. A GLOBAL GROUP bevezetésével a szolgáltatók célja az infrastruktúra modernizálása, a partneri vonzerő növelése és a hitelesség helyreállítása volt.
Támadási taktikák és belépési vektorok
A GLOBAL GROUP pénzügyileg motivált megközelítést alkalmaz, és kezdeti hozzáférési brókereket (IAB) használ a hálózati behatoláshoz. Ezek a brókerek előre feltört hozzáférést biztosítanak a vállalati hálózatokhoz, lehetővé téve a leányvállalatok számára, hogy a behatolási erőfeszítések helyett a zsarolóvírusok telepítésére és a tárgyalásokra összpontosítsanak.
A legfontosabb technikák a következők:
- Fegyverként való hozzáférés a sebezhető Cisco, Fortinet és Palo Alto peremhálózati eszközökhöz
- Nyers erővel működő segédprogramok használata Microsoft Outlook és RDWeb portálok célzására
- Távoli asztali protokoll (RDP) vagy webshell hozzáférés megszerzése ügyvédi irodák és hasonló célpontok számára
Miután bejutottak, a támadók utólagos támadásokat kezelő eszközöket telepítenek, oldalirányú mozgást hajtanak végre, érzékeny adatokat szivárogtatnak ki, és zsarolóvírus-csomagokat indítanak el.
A RaaS ökoszisztéma belsejében
A GLOBAL GROUP kiterjedt affiliate panelt és tárgyalási platformot kínál. A partneri panel felhatalmazza partnereit a következőkre:
- Zsarolóvírus-csomagok létrehozása VMware ESXi, NAS, BSD és Windows rendszerekhez.
- Kövesse nyomon az áldozatokat és irányítsa a műveleteket.
- Használjon mobilbarát funkciókat a valós idejű kezeléshez.
A partnereknek 85%-os bevételrészesedést ígérnek, ami vonzó ösztönző a toborzáshoz. A mesterséges intelligencia által vezérelt chatbotok által működtetett tárgyalási portál többnyelvű interakciót tesz lehetővé, megkönnyítve a nem angolul beszélő partnerek számára az áldozatokkal való hatékony kommunikációt.
Áldozatprofil és globális hatás
2025. július 14-ig a GLOBAL GROUP 17 áldozatot követelt különböző ágazatokban, beleértve a következőket:
- Egészségügy
- Olaj- és gázipari berendezések gyártása
- Ipari gépek és precíziós gépészet
- Autójavítás és baleset utáni helyreállítási szolgáltatások
- Üzleti folyamatok kiszervezése (BPO)
Technikai DNS és evolúció
Az elemzés kódbeli hasonlóságokat tárt fel a GLOBAL GROUP és a Mamona között, valamint ugyanazon orosz VPS-szolgáltató (IpServer) használatát. A Go nyelven írt zsarolóvírus domain szintű telepítési képességekkel rendelkezik, ami megkülönbözteti a korábbi verzióktól. Ez a technológiai váltás rávilágít egy stratégiai lépésre, amely a partneri elköteleződés bővítését és a működési rugalmasság növelését célozza.
Miért mutatja be a GLOBAL GROUP a növekvő kockázatokat?
A GLOBAL GROUP elindítása a zsarolóvírus-üzemeltetők tudatos innovációs törekvését illusztrálja, amely mesterséges intelligenciával vezérelt tárgyalásokat, testreszabható hasznosadat-készítőket és fejlett affiliate ösztönzőket foglal magában. Ez a modernizáció a zsarolóvírusok világában fokozódó fegyverkezési versenyt jelzi, ami jelentős veszélyt jelent a globális kiberbiztonságra.
