Operațiune RaaS a Grupului Global
Experții în securitate cibernetică au descoperit o nouă operațiune Ransomware-as-a-Service (RaaS) numită GLOBAL GROUP. De la începutul lunii iunie 2025, această campanie a vizat în mod activ organizații din Australia, Brazilia, Europa și Statele Unite. Această campanie marchează o evoluție semnificativă în ecosistemul ransomware.
Cuprins
De la BlackLock la GRUP GLOBAL: O strategie de rebranding
Actorul amenințător cunoscut sub numele de „$$$”, care anterior controla BlackLock RaaS și gestiona operațiunea ransomware Mamona, se află în spatele acestei noi scheme. GLOBAL GROUP a fost promovat pe forumul Ramp4u și este considerat pe scară largă a fi o rebranding a BlackLock, care la rândul său își are originea în Eldorado.
Rebrandingul a urmat unui incident din martie 2025, când site-ul BlackLock, care conținea scurgeri de date, a fost denaturat de cartelul DragonForce. Prin introducerea GLOBAL GROUP, operatorii au urmărit să își modernizeze infrastructura, să sporească atractivitatea afiliaților și să restabilească credibilitatea.
Tactici de atac și vectori de intrare
GLOBAL GROUP adoptă o abordare motivată financiar, utilizând brokeri de acces inițial (IAB) pentru infiltrarea în rețea. Acești brokeri oferă acces pre-compromis la rețelele corporative, permițând afiliaților să se concentreze pe implementarea și negocierile ransomware, mai degrabă decât pe eforturile de penetrare.
Tehnicile cheie includ:
- Armărea accesului la dispozitivele vulnerabile Cisco, Fortinet și Palo Alto de la marginea de acces
- Utilizarea utilităților de tip brute-force care vizează portalurile Microsoft Outlook și RDWeb
- Obținerea accesului la Remote Desktop Protocol (RDP) sau la web shell pentru firme de avocatură și ținte similare
Odată ajunși în interior, atacatorii implementează instrumente post-exploatare, efectuează mișcări laterale, exfiltrează date sensibile și lansează payload-uri ransomware.
În interiorul ecosistemului RaaS
GLOBAL GROUP oferă un panel extins de afiliere și o platformă de negociere. Panelul de afiliere oferă partenerilor posibilitatea de a:
- Construiți sarcini utile ransomware pentru VMware ESXi, NAS, BSD și Windows.
- Urmăriți victimele și gestionați operațiunile.
- Folosește funcții optimizate pentru dispozitive mobile pentru gestionarea în timp real.
Afiliaților li se promite o cotă de 85% din venituri, un stimulent atractiv pentru recrutare. Portalul de negociere, alimentat de chatboți bazați pe inteligență artificială, permite interacțiunea multilingvă, facilitând interacțiunea eficientă cu victimele pentru afiliații care nu vorbesc limba engleză.
Profilul victimei și impactul global
Până la data de 14 iulie 2025, GLOBAL GROUP a făcut 17 victime în diverse sectoare, inclusiv:
- Sănătate
- Fabricarea echipamentelor pentru petrol și gaze
- Mașini industriale și inginerie de precizie
- Servicii de reparații auto și recuperare după accidente
- Externalizarea proceselor de afaceri (BPO)
ADN tehnic și evoluție
Analiza relevă similarități de cod între GLOBAL GROUP și Mamona, precum și utilizarea aceluiași furnizor VPS rusesc (IpServer). Ransomware-ul, scris în Go, dispune de capacități de instalare la nivel de domeniu, diferențiindu-l de versiunile anterioare. Această schimbare tehnologică subliniază o mișcare strategică de extindere a implicării afiliaților și de creștere a rezilienței operaționale.
De ce GLOBAL GROUP prezintă riscuri tot mai mari
Lansarea GLOBAL GROUP ilustrează o inițiativă deliberată din partea operatorilor de ransomware de a inova, încorporând negocieri bazate pe inteligență artificială, constructori de sarcini utile personalizabili și stimulente avansate pentru afiliere. Această modernizare semnalează o escaladare a cursei înarmărilor în peisajul ransomware, reprezentând o amenințare semnificativă la adresa apărării globale în domeniul securității cibernetice.
