GLOBAL GROUP RaaS Operation
Gli esperti di sicurezza informatica hanno scoperto una nuova operazione Ransomware-as-a-Service (RaaS) chiamata GLOBAL GROUP. Dall'inizio di giugno 2025, questa campagna ha preso di mira attivamente organizzazioni in Australia, Brasile, Europa e Stati Uniti. Questa campagna segna un'evoluzione significativa nell'ecosistema del ransomware.
Sommario
Da BlackLock a GLOBAL GROUP: una strategia di rebranding
Dietro questo nuovo schema c'è l'autore della minaccia noto come "$$$", che in precedenza controllava BlackLock RaaS e gestiva l'operazione ransomware Mamona. GLOBAL GROUP è stato promosso sul forum Ramp4u ed è ampiamente considerato un rebranding di BlackLock, a sua volta originario di Eldorado.
Il rebranding è avvenuto in seguito a un incidente avvenuto nel marzo 2025, quando il sito di BlackLock, che rivelava la fuga di dati, è stato deturpato dal cartello DragonForce. Con l'introduzione di GLOBAL GROUP, gli operatori miravano a modernizzare la propria infrastruttura, migliorare l'appeal degli affiliati e ripristinare la propria credibilità.
Tattiche di attacco e vettori di ingresso
GLOBAL GROUP adotta un approccio motivato finanziariamente, sfruttando gli Initial Access Broker (IAB) per l'infiltrazione nella rete. Questi broker forniscono un accesso pre-compromesso alle reti aziendali, consentendo alle affiliate di concentrarsi sull'implementazione e sulle negoziazioni del ransomware piuttosto che sulle attività di penetrazione.
Le tecniche principali includono:
- Utilizzare come arma l'accesso ai dispositivi edge vulnerabili di Cisco, Fortinet e Palo Alto
- Utilizzo di utilità di forza bruta che prendono di mira i portali Microsoft Outlook e RDWeb
- Acquisizione del protocollo RDP (Remote Desktop Protocol) o dell'accesso Web Shell per studi legali e obiettivi simili
Una volta all'interno, gli aggressori implementano strumenti di post-sfruttamento, eseguono movimenti laterali, esfiltrano dati sensibili e lanciano payload ransomware.
All'interno dell'ecosistema RaaS
GLOBAL GROUP offre un ampio panel di affiliati e una piattaforma di negoziazione. Il panel di affiliati consente ai partner di:
- Crea payload ransomware per VMware ESXi, NAS, BSD e Windows.
- Rintracciare le vittime e gestire le operazioni.
- Utilizza funzionalità ottimizzate per i dispositivi mobili per una gestione in tempo reale.
Agli affiliati viene promessa una quota di fatturato dell'85%, un incentivo interessante per il reclutamento. Il portale di negoziazione, basato su chatbot basati sull'intelligenza artificiale, consente l'interazione multilingue, facilitando l'interazione efficace con le vittime anche per gli affiliati che non parlano inglese.
Profilo della vittima e impatto globale
Al 14 luglio 2025, GLOBAL GROUP ha causato 17 vittime in diversi settori, tra cui:
- Assistenza sanitaria
- Fabbricazione di attrezzature per petrolio e gas
- Macchinari industriali e ingegneria di precisione
- Servizi di riparazione automobilistica e recupero incidenti
- Esternalizzazione dei processi aziendali (BPO)
DNA tecnico ed evoluzione
L'analisi rivela somiglianze nel codice tra GLOBAL GROUP e Mamona, nonché l'utilizzo dello stesso provider VPS russo (IpServer). Il ransomware, scritto in Go, offre funzionalità di installazione a livello di dominio, distinguendosi dalle versioni precedenti. Questo cambiamento tecnologico sottolinea una mossa strategica volta ad ampliare il coinvolgimento degli affiliati e a rafforzare la resilienza operativa.
Perché GLOBAL GROUP evidenzia rischi crescenti
Il lancio di GLOBAL GROUP illustra la spinta deliberata degli operatori di ransomware a innovare, integrando negoziazioni basate sull'intelligenza artificiale, generatori di payload personalizzabili e incentivi avanzati per gli affiliati. Questa modernizzazione segnala una corsa agli armamenti sempre più serrata nel panorama del ransomware, che rappresenta una minaccia significativa per le difese di sicurezza informatica globali.
