Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare GLOBAL GROUP RaaS-drift

GLOBAL GROUP RaaS-drift

Med Mezo i løsepengeprogramvare
Oversett til:

Nettsikkerhetseksperter har avdekket en ny Ransomware-as-a-Service (RaaS)-operasjon kalt GLOBAL GROUP. Siden tidlig i juni 2025 har denne kampanjen aktivt rettet seg mot organisasjoner i Australia, Brasil, Europa og USA. Denne kampanjen markerer en betydelig utvikling i ransomware-økosystemet.

Fra BlackLock til GLOBAL GROUP: En strategi for omprofilering

Trusselaktøren kjent som «$$$», som tidligere kontrollerte BlackLock RaaS og administrerte Mamona ransomware-operasjonen, står bak denne nye ordningen. GLOBAL GROUP ble promotert på Ramp4u-forumet og anses av mange for å være en rebranding av BlackLock, som i seg selv stammer fra Eldorado.

Omdøpingen fulgte en hendelse i mars 2025, da BlackLocks nettsted for datalekkasje ble ødelagt av DragonForce-kartellet. Ved å introdusere GLOBAL GROUP ønsket operatørene å modernisere infrastrukturen sin, forbedre affiliate-appellen og gjenopprette troverdigheten.

Angrepstaktikker og inngangsvektorer

GLOBAL GROUP benytter en økonomisk motivert tilnærming ved å bruke Initial Access Brokers (IAB-er) for nettverksinfiltrasjon. Disse meglerne gir forhåndskompromittert tilgang til bedriftsnettverk, slik at tilknyttede selskaper kan fokusere på distribusjon og forhandlinger om ransomware i stedet for penetrasjonsarbeid.

Viktige teknikker inkluderer:

  • Våpenbevæpning av tilgang til sårbare Cisco-, Fortinet- og Palo Alto-kantenheter
  • Bruk av brute-force-verktøy rettet mot Microsoft Outlook og RDWeb-portaler
  • Innhenting av RDP-tilgang (Remote Desktop Protocol) eller web shell-tilgang for advokatfirmaer og lignende mål

Når de er inne, bruker angriperne verktøy etter utnyttelse, utfører lateral bevegelse, eksfiltrerer sensitive data og starter ransomware-nyttelaster.

Inne i RaaS-økosystemet

GLOBAL GROUP tilbyr et omfattende partnerpanel og en forhandlingsplattform. Partnerpanelet gir partnere muligheten til å:

  • Bygg ransomware-nyttelaster for VMware ESXi, NAS, BSD og Windows.
  • Spor ofre og administrer operasjoner.
  • Bruk mobilvennlige funksjoner for sanntidsadministrasjon.

Partnere loves en andel på 85 % av inntektene, et attraktivt insentiv for rekruttering. Forhandlingsportalen, drevet av AI-drevne chatboter, muliggjør flerspråklig interaksjon, noe som gjør det enklere for ikke-engelsktalende partnere å kommunisere effektivt med ofrene.

Offerprofil og global innvirkning

Per 14. juli 2025 har GLOBAL GROUP krevd 17 ofre på tvers av ulike sektorer, inkludert:

  • Helsevesen
  • Produksjon av olje- og gassutstyr
  • Industriell maskinteknikk og presisjonsteknikk
  • Bilreparasjon og ulykkesredningstjenester
  • Outsourcing av forretningsprosesser (BPO)

Teknisk DNA og evolusjon

Analysen avdekker kodelikheter mellom GLOBAL GROUP og Mamona, samt bruken av den samme russiske VPS-leverandøren (IpServer). Ransomware-viruset, skrevet i Go, har domeneomfattende installasjonsmuligheter, noe som skiller det fra tidligere versjoner. Dette teknologiske skiftet understreker et strategisk trekk for å utvide affiliate-engasjement og styrke operasjonell robusthet.

Hvorfor GLOBAL GROUP viser frem økende risikoer

Lanseringen av GLOBAL GROUP illustrerer et bevisst press fra ransomware-operatører for å innovere, ved å innlemme AI-drevne forhandlinger, tilpassbare nyttelastbyggere og avanserte tilknyttede insentiver. Denne moderniseringen signaliserer et eskalerende våpenkappløp innen ransomware-landskapet, og utgjør en betydelig trussel mot globalt cybersikkerhetsforsvar.

Trender

Mest sett

Laster inn...