Operação RaaS do GLOBAL GROUP
Especialistas em segurança cibernética descobriram uma nova operação de Ransomware como Serviço (RaaS) chamada GLOBAL GROUP. Desde o início de junho de 2025, essa campanha tem como alvo ativo organizações na Austrália, Brasil, Europa e Estados Unidos. Esta campanha marca uma evolução significativa no ecossistema de ransomware.
Índice
Da BlackLock ao GLOBAL GROUP: Uma Estratégia de Rebranding
O agente de ameaças conhecido como "$$$", que anteriormente controlava o BlackLock RaaS e gerenciava a operação de ransomware Mamona, está por trás deste novo esquema. O GLOBAL GROUP foi promovido no fórum Ramp4u e é amplamente considerado uma reformulação do BlackLock, que por sua vez se originou do Eldorado.
A reformulação da marca ocorreu após um incidente em março de 2025, quando o site de vazamento de dados da BlackLock foi desfigurado pelo cartel DragonForce. Ao introduzir o GLOBAL GROUP, as operadoras buscavam modernizar sua infraestrutura, aumentar o apelo dos afiliados e restaurar sua credibilidade.
Táticas de Ataque e Vetores de Entrada
O GLOBAL GROUP adota uma abordagem com motivação financeira, utilizando Corretores de Acesso Inicial (IABs) para infiltração de redes. Esses corretores fornecem acesso pré-comprometido às redes corporativas, permitindo que as afiliadas se concentrem na implantação e nas negociações de ransomware, em vez de esforços de penetração.
As principais técnicas incluem:
- Tornando o acesso uma arma para dispositivos de ponta vulneráveis da Cisco, Fortinet e Palo Alto
- Usando utilitários de força bruta visando portais Microsoft Outlook e RDWeb
- Aquisição de acesso via Protocolo de Área de Trabalho Remota (RDP) ou web shell para escritórios de advocacia e alvos semelhantes
Uma vez lá dentro, os invasores implantam ferramentas de pós-exploração, realizam movimentos laterais, exfiltram dados confidenciais e lançam cargas de ransomware.
Dentro do ecossistema RaaS
O GLOBAL GROUP oferece um amplo painel de afiliados e uma plataforma de negociação. O painel de afiliados capacita os parceiros a:
- Crie payloads de ransomware para VMware ESXi, NAS, BSD e Windows.
- Rastreie vítimas e gerencie operações.
- Utilize recursos otimizados para dispositivos móveis para gerenciamento em tempo real.
Os afiliados recebem a promessa de uma participação de 85% na receita, um incentivo atraente para o recrutamento. O portal de negociação, alimentado por chatbots com inteligência artificial, permite interação multilíngue, facilitando o engajamento eficaz de afiliados que não falam inglês com as vítimas.
Perfil da Vítima e Impacto Global
Até 14 de julho de 2025, o GLOBAL GROUP havia causado 17 vítimas em diversos setores, incluindo:
- Assistência médica
- Fabricação de equipamentos de petróleo e gás
- Máquinas Industriais e Engenharia de Precisão
- Serviços de reparo automotivo e recuperação de acidentes
- Terceirização de Processos de Negócios (BPO)
DNA Técnico e Evolução
A análise revela semelhanças de código entre o GLOBAL GROUP e o Mamona, bem como o uso do mesmo provedor russo de VPS (IpServer). O ransomware, escrito em Go, oferece recursos de instalação em todo o domínio, o que o diferencia das versões anteriores. Essa mudança tecnológica destaca uma mudança estratégica para expandir o engajamento dos afiliados e aumentar a resiliência operacional.
Por que o GLOBAL GROUP apresenta riscos crescentes
O lançamento do GLOBAL GROUP ilustra um esforço deliberado dos operadores de ransomware para inovar, incorporando negociações com tecnologia de IA, construtores de payload personalizáveis e incentivos avançados para afiliados. Essa modernização sinaliza uma corrida armamentista crescente no cenário de ransomware, representando uma ameaça significativa às defesas globais de segurança cibernética.
