Глобальная группа RaaS Operation
Эксперты по кибербезопасности обнаружили новую операцию Ransomware-as-a-Service (RaaS) под названием GLOBAL GROUP. С начала июня 2025 года эта кампания активно атаковала организации в Австралии, Бразилии, Европе и США. Эта кампания знаменует собой значительный прогресс в экосистеме программ-вымогателей.
Оглавление
От BlackLock до GLOBAL GROUP: стратегия ребрендинга
За этой новой схемой стоит злоумышленник, известный как «$$$», который ранее контролировал BlackLock RaaS и руководил операцией по вымогательству Mamona. GLOBAL GROUP была представлена на форуме Ramp4u и широко считается ребрендингом BlackLock, который, в свою очередь, был создан компанией Eldorado.
Ребрендинг был проведен после инцидента в марте 2025 года, когда сайт BlackLock, посвященный утечке данных, был взломан картелем DragonForce. Внедряя GLOBAL GROUP, операторы стремились модернизировать свою инфраструктуру, повысить привлекательность для партнеров и восстановить доверие.
Тактика атаки и векторы проникновения
GLOBAL GROUP применяет финансово мотивированный подход, используя посредников начального доступа (IAB) для проникновения в сеть. Эти посредники предоставляют заранее скомпрометированный доступ к корпоративным сетям, позволяя аффилированным лицам сосредоточиться на развертывании программ-вымогателей и переговорах, а не на попытках проникновения.
Основные методы включают в себя:
- Использование доступа к уязвимым периферийным устройствам Cisco, Fortinet и Palo Alto в качестве оружия
- Использование утилит подбора атак на порталы Microsoft Outlook и RDWeb
- Получение доступа к протоколу удаленного рабочего стола (RDP) или веб-оболочке для юридических фирм и аналогичных целей
Оказавшись внутри системы, злоумышленники применяют инструменты последующей эксплуатации, осуществляют горизонтальное перемещение, извлекают конфиденциальные данные и запускают вредоносные программы-вымогатели.
Внутри экосистемы RaaS
GLOBAL GROUP предлагает обширную партнерскую панель и платформу для переговоров. Партнерская панель позволяет партнерам:
- Создавайте вредоносные программы-вымогатели для VMware ESXi, NAS, BSD и Windows.
- Отслеживайте жертв и управляйте операциями.
- Используйте удобные для мобильных устройств функции для управления в режиме реального времени.
Партнёрам обещана доля в 85% от дохода, что является привлекательным стимулом для привлечения новых сотрудников. Портал переговоров, работающий на основе чат-ботов с искусственным интеллектом, обеспечивает многоязычное взаимодействие, что упрощает эффективное взаимодействие с жертвами для партнёров, не владеющих английским языком.
Профиль жертвы и глобальное воздействие
По состоянию на 14 июля 2025 года GLOBAL GROUP заявила о 17 жертвах из различных секторов, включая:
- Здравоохранение
- Изготовление нефтегазового оборудования
- Промышленное машиностроение и точное машиностроение
- Услуги по ремонту и восстановлению автомобилей после аварий
- Аутсорсинг бизнес-процессов (BPO)
Техническая ДНК и эволюция
Анализ выявил сходство кода GLOBAL GROUP и Mamona, а также использование одного и того же российского VPS-провайдера (IpServer). Программа-вымогатель, написанная на Go, обладает возможностями установки на весь домен, что отличает её от более ранних версий. Этот технологический сдвиг подчёркивает стратегический шаг по расширению взаимодействия с партнёрами и повышению операционной устойчивости.
Почему GLOBAL GROUP демонстрирует растущие риски
Запуск GLOBAL GROUP демонстрирует целенаправленное стремление операторов программ-вымогателей к инновациям, включая переговоры на основе искусственного интеллекта, настраиваемые конструкторы полезной нагрузки и расширенные партнерские программы. Эта модернизация сигнализирует об эскалации гонки вооружений в сфере программ-вымогателей, представляя серьезную угрозу глобальной кибербезопасности.
