Operasi RaaS KUMPULAN GLOBAL
Pakar keselamatan siber telah menemui operasi Ransomware-as-a-Service (RaaS) baharu yang dipanggil GLOBAL GROUP. Sejak awal Jun 2025, kempen ini secara aktif menyasarkan organisasi di seluruh Australia, Brazil, Eropah dan Amerika Syarikat. Kempen ini menandakan evolusi penting dalam ekosistem perisian tebusan.
Isi kandungan
Daripada BlackLock kepada GLOBAL GROUP: Strategi Penjenamaan Semula
Pelakon ancaman yang dikenali sebagai '$$$,' yang sebelum ini mengawal BlackLock RaaS dan menguruskan operasi ransomware Mamona, berada di belakang skim baharu ini. GLOBAL GROUP telah dipromosikan di forum Ramp4u dan secara meluas dianggap sebagai penjenamaan semula BlackLock, yang berasal dari Eldorado.
Penjenamaan semula itu menyusuli insiden pada Mac 2025, apabila tapak kebocoran data BlackLock telah dicemari oleh kartel DragonForce. Dengan memperkenalkan GLOBAL GROUP, pengendali menyasarkan untuk memodenkan infrastruktur mereka, meningkatkan daya tarikan ahli gabungan dan memulihkan kredibiliti.
Taktik Serangan dan Vektor Kemasukan
GLOBAL GROUP mengguna pakai pendekatan bermotivasi kewangan dengan memanfaatkan Broker Akses Awal (IAB) untuk penyusupan rangkaian. Broker ini membekalkan akses pra-kompromi kepada rangkaian korporat, membolehkan ahli gabungan menumpukan pada penggunaan perisian tebusan dan rundingan dan bukannya usaha penembusan.
Teknik utama termasuk:
- Mempersenjatai akses kepada peralatan Cisco, Fortinet dan Palo Alto yang terdedah
- Menggunakan utiliti kekerasan yang menyasarkan portal Microsoft Outlook dan RDWeb
- Memperoleh Protokol Desktop Jauh (RDP) atau akses shell web untuk firma guaman dan sasaran yang serupa
Sebaik sahaja di dalam, penyerang menggunakan alatan pasca eksploitasi, melakukan pergerakan sisi, mengeluarkan data sensitif dan melancarkan muatan perisian tebusan.
Di dalam Ekosistem RaaS
GLOBAL GROUP menawarkan panel ahli gabungan dan platform rundingan yang luas. Panel ahli gabungan memperkasakan rakan kongsi untuk:
- Bina muatan perisian tebusan untuk VMware ESXi, NAS, BSD dan Windows.
- Jejaki mangsa dan uruskan operasi.
- Gunakan ciri mesra mudah alih untuk pengurusan masa nyata.
Ahli gabungan dijanjikan bahagian hasil 85%, insentif menarik untuk pengambilan. Portal rundingan, dikuasakan oleh chatbots dipacu AI, membolehkan interaksi berbilang bahasa, menjadikannya lebih mudah untuk ahli gabungan yang bukan berbahasa Inggeris untuk berinteraksi dengan mangsa dengan berkesan.
Profil Mangsa dan Kesan Global
Sehingga 14 Julai 2025, GLOBAL GROUP telah menuntut 17 mangsa merentasi pelbagai sektor, termasuk:
- Penjagaan kesihatan
- Fabrikasi Peralatan Minyak dan Gas
- Jentera Perindustrian dan Kejuruteraan Ketepatan
- Perkhidmatan Pembaikan dan Pemulihan Kemalangan Automotif
- Penyumberan Luar Proses Perniagaan (BPO)
DNA teknikal dan Evolusi
Analisis mendedahkan persamaan kod antara GLOBAL GROUP dan Mamona, serta penggunaan penyedia VPS Rusia yang sama (IpServer). Perisian tebusan, yang ditulis dalam Go, menampilkan keupayaan pemasangan seluruh domain, membezakannya daripada versi terdahulu. Peralihan teknologi ini menggariskan langkah strategik untuk mengembangkan penglibatan ahli gabungan dan meningkatkan daya tahan operasi.
Mengapa GLOBAL GROUP Mempamerkan Peningkatan Risiko
Pelancaran GLOBAL GROUP menggambarkan dorongan sengaja oleh pengendali perisian tebusan untuk berinovasi, menggabungkan rundingan dikuasakan AI, pembina muatan yang boleh disesuaikan dan insentif gabungan lanjutan. Pemodenan ini menandakan perlumbaan senjata yang semakin meningkat dalam landskap perisian tebusan, yang menimbulkan ancaman besar kepada pertahanan keselamatan siber global.
