GLOBALNA GRUPA RaaS Operation
Eksperci ds. cyberbezpieczeństwa odkryli nową operację ransomware-as-a-Service (RaaS) o nazwie GLOBAL GROUP. Od początku czerwca 2025 roku kampania ta aktywnie atakuje organizacje w Australii, Brazylii, Europie i Stanach Zjednoczonych. Kampania ta stanowi istotną ewolucję w ekosystemie ransomware.
Spis treści
Od BlackLock do GLOBAL GROUP: strategia rebrandingu
Za tym nowym procederem stoi aktor zagrożeń znany jako „$$$”, który wcześniej kontrolował usługę BlackLock RaaS i zarządzał operacją ransomware Mamona. GLOBAL GROUP był promowany na forum Ramp4u i jest powszechnie uważany za rebranding BlackLock, który sam wywodzi się z Eldorado.
Rebranding nastąpił po incydencie w marcu 2025 roku, kiedy strona internetowa BlackLock dotycząca wycieku danych została zhakowana przez kartel DragonForce. Wprowadzając GLOBAL GROUP, operatorzy chcieli zmodernizować swoją infrastrukturę, zwiększyć atrakcyjność afiliacyjną i odbudować wiarygodność.
Taktyki ataku i wektory wejścia
GLOBAL GROUP stosuje podejście motywowane finansowo, wykorzystując brokerów dostępu początkowego (IAB) do infiltracji sieci. Brokerzy ci zapewniają dostęp do sieci korporacyjnych bez naruszenia bezpieczeństwa, umożliwiając partnerom skupienie się na wdrażaniu oprogramowania ransomware i negocjacjach, zamiast na działaniach penetracyjnych.
Do kluczowych technik zalicza się:
- Użycie broni do uzyskania dostępu do podatnych na ataki urządzeń brzegowych Cisco, Fortinet i Palo Alto
- Korzystanie z narzędzi do ataków siłowych ukierunkowanych na portale Microsoft Outlook i RDWeb
- Uzyskiwanie dostępu do protokołu RDP (Remote Desktop Protocol) lub powłoki sieciowej dla kancelarii prawnych i podobnych celów
Po wniknięciu do systemu atakujący wdrażają narzędzia umożliwiające późniejszą eksploatację, wykonują działania boczne, wykradają poufne dane i uruchamiają ładunki ransomware.
Wewnątrz ekosystemu RaaS
GLOBAL GROUP oferuje rozbudowany panel partnerski i platformę negocjacyjną. Panel partnerski umożliwia partnerom:
- Twórz ładunki ransomware dla VMware ESXi, NAS, BSD i Windows.
- Śledź ofiary i zarządzaj operacjami.
- Wykorzystaj funkcje dostosowane do urządzeń mobilnych, aby zarządzać w czasie rzeczywistym.
Partnerzy mają obietnicę 85% udziału w przychodach, co stanowi atrakcyjną zachętę do rekrutacji. Portal negocjacyjny, oparty na chatbotach opartych na sztucznej inteligencji, umożliwia interakcję wielojęzyczną, ułatwiając partnerom nieanglojęzycznym skuteczną komunikację z ofiarami.
Profil ofiary i globalny wpływ
Na dzień 14 lipca 2025 r. GLOBAL GROUP odnotowała 17 ofiar w różnych sektorach, w tym:
- Opieka zdrowotna
- Produkcja sprzętu do ropy i gazu
- Maszyny przemysłowe i inżynieria precyzyjna
- Naprawa samochodów i usługi powypadkowe
- Outsourcing procesów biznesowych (BPO)
Techniczne DNA i ewolucja
Analiza ujawnia podobieństwa w kodzie GLOBAL GROUP i Mamona, a także korzystanie z tego samego rosyjskiego dostawcy serwerów VPS (IpServer). Oprogramowanie ransomware, napisane w języku Go, oferuje możliwość instalacji w całej domenie, co odróżnia je od wcześniejszych wersji. Ta zmiana technologiczna podkreśla strategiczny krok mający na celu zwiększenie zaangażowania partnerów i zwiększenie odporności operacyjnej.
Dlaczego GLOBAL GROUP prezentuje rosnące ryzyko
Uruchomienie GLOBAL GROUP jest przykładem świadomego dążenia operatorów ransomware do innowacji, w tym negocjacji opartych na sztucznej inteligencji, konfigurowalnych narzędzi do tworzenia ładunków oraz zaawansowanych zachęt dla partnerów. Ta modernizacja sygnalizuje eskalację wyścigu zbrojeń w środowisku ransomware, stanowiąc poważne zagrożenie dla globalnych systemów cyberbezpieczeństwa.
