Prevádzka RaaS spoločnosti GLOBAL GROUP
Odborníci na kybernetickú bezpečnosť odhalili novú operáciu Ransomware-as-a-Service (RaaS) s názvom GLOBAL GROUP. Od začiatku júna 2025 sa táto kampaň aktívne zameriava na organizácie v Austrálii, Brazílii, Európe a Spojených štátoch. Táto kampaň predstavuje významný vývoj v ekosystéme ransomvéru.
Obsah
Od BlackLocku po GLOBAL GROUP: Stratégia rebrandingu
Za touto novou schémou stojí aktér s prezývkou „$$$“, ktorý predtým ovládal BlackLock RaaS a riadil operáciu s ransomvérom Mamona. GLOBAL GROUP bola propagovaná na fóre Ramp4u a všeobecne sa považuje za rebranding BlackLock, ktorý sám vznikol z Eldorada.
Rebranding nasledoval po incidente v marci 2025, keď kartel DragonForce poškodil stránku úniku údajov spoločnosti BlackLock. Zavedením GLOBAL GROUP sa prevádzkovatelia snažili modernizovať svoju infraštruktúru, zvýšiť atraktivitu pre partnerských spoločností a obnoviť dôveryhodnosť.
Taktika útoku a vstupné vektory
Spoločnosť GLOBAL GROUP uplatňuje finančne motivovaný prístup využívaním sprostredkovateľov počiatočného prístupu (IAB) na infiltráciu siete. Títo sprostredkovatelia poskytujú vopred napadnutý prístup do podnikových sietí, čo umožňuje pridruženým spoločnostiam sústrediť sa na nasadenie ransomvéru a vyjednávania, a nie na úsilie o penetráciu.
Medzi kľúčové techniky patria:
- Zneužívanie prístupu k zraniteľným zariadeniam na okraji siete Cisco, Fortinet a Palo Alto
- Používanie nástrojov hrubej sily zameraných na portály Microsoft Outlook a RDWeb
- Získanie prístupu k protokolu vzdialenej pracovnej plochy (RDP) alebo webovému shellu pre právnické firmy a podobné ciele
Po vstupe do systému útočníci nasadia nástroje na vykonanie následného zneužitia, vykonajú laterálny pohyb, ukradnú citlivé údaje a spustia ransomvérové dáta.
V ekosystéme RaaS
GLOBAL GROUP ponúka rozsiahly partnerský panel a platformu na vyjednávanie. Partnerský panel umožňuje partnerom:
- Vytvárajte dáta ransomvéru pre VMware ESXi, NAS, BSD a Windows.
- Sledujte obete a riadite operácie.
- Využívajte funkcie optimalizované pre mobilné zariadenia na správu v reálnom čase.
Partnerom je sľúbený 85 % podiel na príjmoch, čo je atraktívny stimul pre nábor. Vyjednávací portál, ktorý využívajú chatboty s umelou inteligenciou, umožňuje viacjazyčnú interakciu, čo uľahčuje partnerom, ktorí nehovoria po anglicky, efektívnu komunikáciu s obeťami.
Profil obete a globálny dopad
K 14. júlu 2025 si spoločnosť GLOBAL GROUP vyžiadala 17 obetí v rôznych sektoroch vrátane:
- Zdravotná starostlivosť
- Výroba zariadení pre ropu a plyn
- Priemyselné stroje a presné strojárstvo
- Opravy automobilov a odťahové služby po nehodách
- Outsourcing obchodných procesov (BPO)
Technická DNA a evolúcia
Analýza odhaľuje podobnosti v kóde medzi spoločnosťami GLOBAL GROUP a Mamona, ako aj používanie rovnakého ruského poskytovateľa VPS (IpServer). Ransomvér, napísaný v jazyku Go, ponúka možnosti inštalácie v celej doméne, čím sa odlišuje od predchádzajúcich verzií. Tento technologický posun podčiarkuje strategický krok k rozšíreniu zapojenia partnerských spoločností a posilneniu prevádzkovej odolnosti.
Prečo GLOBAL GROUP poukazuje na rastúce riziká
Spustenie spoločnosti GLOBAL GROUP ilustruje zámerný tlak prevádzkovateľov ransomvéru na inovácie, ktoré zahŕňajú vyjednávania s využitím umelej inteligencie, prispôsobiteľné nástroje na tvorbu dát a pokročilé partnerské stimuly. Táto modernizácia signalizuje eskalujúce preteky v zbrojení v oblasti ransomvéru, čo predstavuje významnú hrozbu pre globálnu kybernetickú obranu.
