Delovanje RaaS GLOBALNE SKUPINE
Strokovnjaki za kibernetsko varnost so odkrili novo operacijo izsiljevalske programske opreme kot storitve (RaaS), imenovano GLOBAL GROUP. Od začetka junija 2025 ta kampanja aktivno cilja na organizacije po Avstraliji, Braziliji, Evropi in Združenih državah Amerike. Ta kampanja pomeni pomemben razvoj v ekosistemu izsiljevalske programske opreme.
Kazalo
Od BlackLocka do GLOBAL GROUP: Strategija preoblikovanja blagovne znamke
Za to novo shemo stoji akter grožnje, znan kot »$$$«, ki je prej nadzoroval BlackLock RaaS in upravljal operacijo izsiljevalske programske opreme Mamona. GLOBAL GROUP je bil promoviran na forumu Ramp4u in na splošno velja za preimenovanje BlackLocka, ki izvira iz Eldorada.
Preimenovanje je sledilo incidentu marca 2025, ko je kartel DragonForce uničil spletno mesto BlackLocka, kjer so uhajali podatki. Z uvedbo GLOBAL GROUP so operaterji želeli posodobiti svojo infrastrukturo, povečati privlačnost za partnerje in obnoviti verodostojnost.
Taktike napada in vektorji vstopa
GLOBALNA SKUPINA uporablja finančno motiviran pristop z uporabo posrednikov za začetni dostop (IAB) za infiltracijo v omrežje. Ti posredniki zagotavljajo vnaprej ogrožen dostop do korporativnih omrežij, kar omogoča povezanim podjetjem, da se osredotočijo na uvajanje in pogajanja o izsiljevalski programski opremi namesto na prizadevanja za vdor.
Ključne tehnike vključujejo:
- Orožje za dostop do ranljivih robnih naprav Cisco, Fortinet in Palo Alto
- Uporaba orodij za grobo silo, ki ciljajo na portale Microsoft Outlook in RDWeb
- Pridobitev dostopa do protokola oddaljenega namizja (RDP) ali spletne lupine za odvetniške pisarne in podobne cilje
Ko so napadalci enkrat v notranjosti, uporabijo orodja za naknadno izkoriščanje, izvajajo lateralno premikanje, izkoriščajo občutljive podatke in izstreljujejo koristne tovore izsiljevalske programske opreme.
Znotraj ekosistema RaaS
GLOBAL GROUP ponuja obsežen partnerski panel in platformo za pogajanja. Partnerski panel partnerjem omogoča:
- Zgradite koristne podatke o izsiljevalski programski opremi za VMware ESXi, NAS, BSD in Windows.
- Sledite žrtvam in upravljajte operacije.
- Za upravljanje v realnem času uporabite funkcije, prijazne mobilnim napravam.
Podružnicam je obljubljen 85-odstotni delež prihodkov, kar je privlačna spodbuda za zaposlovanje. Pogajalski portal, ki ga poganjajo klepetalni roboti z umetno inteligenco, omogoča večjezično interakcijo, kar podružnicam, ki ne govorijo angleščine, olajša učinkovito interakcijo z žrtvami.
Profil žrtve in globalni vpliv
Do 14. julija 2025 je GLOBAL GROUP zahteval 17 žrtev v različnih sektorjih, vključno z:
- Zdravstvo
- Izdelava opreme za nafto in plin
- Industrijski stroji in precizno inženirstvo
- Storitve popravila avtomobilov in reševanja po nesrečah
- Zunanje izvajanje poslovnih procesov (BPO)
Tehnična DNK in evolucija
Analiza razkriva podobnosti kode med GLOBAL GROUP in Mamono, pa tudi uporabo istega ruskega ponudnika VPS (IpServer). Izsiljevalska programska oprema, napisana v jeziku Go, ima zmožnosti namestitve na celotno domeno, kar jo loči od prejšnjih različic. Ta tehnološki premik poudarja strateško potezo za širitev sodelovanja s partnerji in povečanje operativne odpornosti.
Zakaj GLOBALNA SKUPINA opozarja na naraščajoča tveganja
Začetek delovanja skupine GLOBAL GROUP ponazarja namerno prizadevanje upravljavcev izsiljevalske programske opreme za inovacije, vključno z vključevanjem pogajanj, ki jih poganja umetna inteligenca, prilagodljivih graditeljev koristnih podatkov in naprednih spodbud za partnerske programe. Ta posodobitev nakazuje stopnjevanje oboroževalne tekme v okolju izsiljevalske programske opreme, kar predstavlja veliko grožnjo globalni kibernetski varnosti.
