글로벌 그룹 RaaS 운영

사이버 보안 전문가들은 GLOBAL GROUP이라는 새로운 랜섬웨어 서비스형(RaaS) 작전을 발견했습니다. 2025년 6월 초부터 이 캠페인은 호주, 브라질, 유럽, 미국 전역의 조직을 적극적으로 공격해 왔습니다. 이 캠페인은 랜섬웨어 생태계의 중요한 발전을 보여줍니다.

BlackLock에서 GLOBAL GROUP으로: 리브랜딩 전략

이전에 BlackLock RaaS를 관리하고 Mamona 랜섬웨어 작전을 지휘했던 '$$$'라는 이름의 위협 행위자가 이 새로운 계획의 배후에 있습니다. GLOBAL GROUP은 Ramp4u 포럼에서 홍보되었으며, Eldorado에서 유래한 BlackLock의 리브랜딩으로 널리 알려져 있습니다.

이번 리브랜딩은 2025년 3월, 드래곤포스 카르텔이 블랙록(BlackLock)의 데이터 유출 사이트를 해킹한 사건 이후 이루어졌습니다. 글로벌 그룹(GLOBAL GROUP)을 통해 운영사들은 인프라 현대화, 제휴사 유치 강화, 그리고 신뢰 회복을 목표로 했습니다.

공격 전술 및 진입 벡터

글로벌 그룹은 네트워크 침투를 위해 초기 접근 브로커(IAB)를 활용하는 재정적 동기를 가진 접근 방식을 채택합니다. 이러한 브로커는 기업 네트워크에 대한 사전 침해된 접근 권한을 제공하여 제휴사가 침투 노력보다는 랜섬웨어 배포 및 협상에 집중할 수 있도록 합니다.

주요 기술은 다음과 같습니다.

• 취약한 Cisco, Fortinet 및 Palo Alto 에지 어플라이언스에 대한 액세스 무기화
• Microsoft Outlook 및 RDWeb 포털을 타겟으로 하는 무차별 대입 유틸리티 사용
• 법률 회사 및 유사한 대상을 위한 원격 데스크톱 프로토콜(RDP) 또는 웹 셸 액세스 획득

공격자는 침투 후 악용 도구를 배포하고, 측면 이동을 수행하고, 민감한 데이터를 빼내고, 랜섬웨어 페이로드를 실행합니다.

RaaS 생태계 내부

글로벌 그룹은 광범위한 제휴 패널과 협상 플랫폼을 제공합니다. 제휴 패널은 파트너에게 다음과 같은 역량을 제공합니다.

• VMware ESXi, NAS, BSD 및 Windows에 대한 랜섬웨어 페이로드를 구축합니다.
• 피해자를 추적하고 운영을 관리합니다.
• 실시간 관리를 위해 모바일 친화적인 기능을 활용하세요.

제휴사는 85%의 수익 배분을 약속받으며, 이는 매력적인 채용 인센티브입니다. AI 기반 챗봇으로 구동되는 협상 포털은 다국어 상호 작용을 지원하여 영어가 모국어가 아닌 제휴사도 피해자와 효과적으로 소통할 수 있도록 지원합니다.

피해자 프로필 및 글로벌 영향

2025년 7월 14일 현재 GLOBAL GROUP은 다음을 포함한 다양한 부문에서 17명의 피해자를 주장했습니다.

• 헬스케어
• 석유 및 가스 장비 제작
• 산업기계 및 정밀공학
• 자동차 수리 및 사고 복구 서비스
• 비즈니스 프로세스 아웃소싱(BPO)

기술 DNA와 진화

분석 결과 GLOBAL GROUP과 Mamona 사이에 코드 유사성이 발견되었으며, 동일한 러시아 VPS 제공업체(IpServer)를 사용하는 것으로 나타났습니다. Go 언어로 작성된 이 랜섬웨어는 도메인 전체에 설치 가능한 기능을 제공하여 이전 버전과 차별화됩니다. 이러한 기술적 변화는 제휴사 참여 확대 및 운영 복원력 강화를 위한 전략적 움직임을 강조합니다.

GLOBAL GROUP이 증가하는 위험을 보여주는 이유

GLOBAL GROUP의 출시는 랜섬웨어 운영자들이 AI 기반 협상, 맞춤형 페이로드 빌더, 그리고 고급 제휴 인센티브를 도입하여 혁신을 추진하고 있음을 보여줍니다. 이러한 현대화는 랜섬웨어 환경 내에서 군비 경쟁이 심화되고 있음을 시사하며, 전 세계 사이버 보안 방어 체계에 심각한 위협을 초래합니다.