Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware GLOBAL GROUP RaaS-operatie

GLOBAL GROUP RaaS-operatie

Tegen Mezo in Ransomware
Vertalen naar:

Cybersecurityexperts hebben een nieuwe Ransomware-as-a-Service (RaaS)-operatie ontdekt, genaamd GLOBAL GROUP. Sinds begin juni 2025 richt deze campagne zich actief op organisaties in Australië, Brazilië, Europa en de Verenigde Staten. Deze campagne markeert een belangrijke evolutie in het ransomware-ecosysteem.

Van BlackLock naar GLOBAL GROUP: een rebrandingstrategie

De dreigingsactor bekend als '$$$', die voorheen de BlackLock RaaS beheerde en de Mamona-ransomwareoperatie leidde, zit achter deze nieuwe opzet. GLOBAL GROUP werd gepromoot op het Ramp4u-forum en wordt algemeen beschouwd als een rebranding van BlackLock, dat zelf afkomstig is van Eldorado.

De naamswijziging volgde op een incident in maart 2025, toen de website van BlackLock over het datalek werd gehackt door het DragonForce-kartel. Met de introductie van GLOBAL GROUP wilden de exploitanten hun infrastructuur moderniseren, de aantrekkingskracht van affiliate marketing vergroten en hun geloofwaardigheid herstellen.

Aanvalstactieken en intredevectoren

GLOBAL GROUP hanteert een financieel gemotiveerde aanpak door gebruik te maken van Initial Access Brokers (IAB's) voor netwerkinfiltratie. Deze brokers bieden vooraf gecompromitteerde toegang tot bedrijfsnetwerken, waardoor partners zich kunnen richten op de implementatie en onderhandelingen van ransomware in plaats van op penetratie.

Belangrijke technieken zijn:

  • Toegang tot kwetsbare Cisco-, Fortinet- en Palo Alto-edge-apparaten als wapen gebruiken
  • Het gebruik van brute-force-hulpprogramma's gericht op Microsoft Outlook en RDWeb-portals
  • Het verkrijgen van Remote Desktop Protocol (RDP) of web shell-toegang voor advocatenkantoren en soortgelijke doelen

Zodra aanvallers binnen zijn, implementeren ze post-exploitatietools, voeren ze laterale verplaatsingen uit, exfiltreren ze gevoelige gegevens en lanceren ze ransomware-ladingen.

Binnen het RaaS-ecosysteem

GLOBAL GROUP biedt een uitgebreid affiliatepanel en onderhandelingsplatform. Het affiliatepanel stelt partners in staat om:

  • Bouw ransomware-payloads voor VMware ESXi, NAS, BSD en Windows.
  • Volg slachtoffers en beheer de operaties.
  • Gebruik mobiele functies voor realtimebeheer.

Affiliates wordt een winstdeling van 85% beloofd, een aantrekkelijke stimulans voor werving. De onderhandelingsportal, aangestuurd door AI-gestuurde chatbots, maakt meertalige interactie mogelijk, waardoor het voor niet-Engelstalige affiliates gemakkelijker wordt om effectief met slachtoffers in contact te komen.

Slachtofferprofiel en wereldwijde impact

Per 14 juli 2025 heeft GLOBAL GROUP 17 slachtoffers gemaakt in verschillende sectoren, waaronder:

  • Gezondheidszorg
  • Fabricage van olie- en gasapparatuur
  • Industriële machines en precisietechniek
  • Autoreparatie- en ongevallenhersteldiensten
  • Uitbesteding van bedrijfsprocessen (BPO)

Technisch DNA en evolutie

Analyse toont overeenkomsten in de code tussen GLOBAL GROUP en Mamona, evenals het gebruik van dezelfde Russische VPS-provider (IpServer). De ransomware, geschreven in Go, biedt domeinbrede installatiemogelijkheden, wat het onderscheidt van eerdere versies. Deze technologische verschuiving onderstreept een strategische zet om de betrokkenheid van affiliates te vergroten en de operationele veerkracht te vergroten.

Waarom GLOBAL GROUP toenemende risico’s laat zien

De lancering van GLOBAL GROUP illustreert een bewuste drang van ransomware-operatoren om te innoveren, met onder meer AI-gestuurde onderhandelingen, aanpasbare payload builders en geavanceerde affiliate incentives. Deze modernisering duidt op een escalerende wapenwedloop binnen het ransomwarelandschap, die een aanzienlijke bedreiging vormt voor de wereldwijde cybersecurity.

Trending

Meest bekeken

Bezig met laden...