Operacioni RaaS i GROUP GLOBAL
Ekspertët e sigurisë kibernetike kanë zbuluar një operacion të ri Ransomware-as-a-Service (RaaS) të quajtur GLOBAL GROUP. Që nga fillimi i qershorit 2025, kjo fushatë ka synuar në mënyrë aktive organizata në të gjithë Australinë, Brazilin, Evropën dhe Shtetet e Bashkuara. Kjo fushatë shënon një evolucion të rëndësishëm në ekosistemin e ransomware-it.
Tabela e Përmbajtjes
Nga BlackLock në GLOBAL GROUP: Një strategji ribranding
Aktori kërcënues i njohur si '$$$', i cili më parë kontrollonte BlackLock RaaS dhe menaxhonte operacionin e ransomware-it Mamona, qëndron pas kësaj skeme të re. GLOBAL GROUP u promovua në forumin Ramp4u dhe konsiderohet gjerësisht si një ribrand i BlackLock, i cili vetë e ka origjinën nga Eldorado.
Ri-branding pasoi një incident në mars të vitit 2025, kur faqja e rrjedhjes së të dhënave të BlackLock u dëmtua nga karteli DragonForce. Duke prezantuar GLOBAL GROUP, operatorët synonin të modernizonin infrastrukturën e tyre, të rrisnin atraktivitetin e bashkëpunëtorëve dhe të rivendosnin besueshmërinë.
Taktikat e Sulmit dhe Vektorët e Hyrjes
GLOBAL GROUP miraton një qasje të motivuar financiarisht duke shfrytëzuar Ndërmjetësit e Qasjes Fillestare (IAB) për infiltrimin në rrjet. Këta ndërmjetës ofrojnë qasje të para-kompromentuar në rrjetet e korporatave, duke u lejuar bashkëpunëtorëve të përqendrohen në vendosjen dhe negociatat e ransomware-it në vend të përpjekjeve të depërtimit.
Teknikat kryesore përfshijnë:
- Përdorimi i aksesit si armë në pajisjet e cenueshme të Cisco, Fortinet dhe Palo Alto në skajet e jashtme
- Përdorimi i shërbimeve brute-force që synojnë portalet Microsoft Outlook dhe RDWeb
- Marrja e aksesit në Protokollin e Desktopit të Largët (RDP) ose në shell-in e uebit për firmat ligjore dhe objektiva të ngjashëm
Pasi hyjnë brenda, sulmuesit vendosin mjete pas-shfrytëzimit, kryejnë lëvizje anësore, nxjerrin të dhëna të ndjeshme dhe lëshojnë ngarkesa ransomware.
Brenda ekosistemit RaaS
GLOBAL GROUP ofron një panel të gjerë bashkëpunëtorësh dhe platformë negociuese. Paneli i bashkëpunëtorëve i fuqizon partnerët të:
- Ndërtoni ngarkesa ransomware për VMware ESXi, NAS, BSD dhe Windows.
- Gjurmoni viktimat dhe menaxhoni operacionet.
- Përdorni veçori të përshtatshme për celularë për menaxhim në kohë reale.
Filialeve u premtohet një pjesë prej 85% e të ardhurave, një nxitje tërheqëse për rekrutimin. Portali i negociatave, i mundësuar nga chatbot-e të drejtuara nga inteligjenca artificiale, mundëson ndërveprim shumëgjuhësh, duke e bërë më të lehtë për bashkëpunëtorët jo-anglishtfolës të angazhohen në mënyrë efektive me viktimat.
Profili i Viktimës dhe Ndikimi Global
Që nga 14 korriku 2025, GLOBAL GROUP ka marrë përsipër 17 viktima në sektorë të ndryshëm, duke përfshirë:
- Kujdesi shëndetësor
- Prodhimi i Pajisjeve të Naftës dhe Gazit
- Makineri Industriale dhe Inxhinieri Precize
- Shërbime Riparimi Automobilash dhe Rimëkëmbjeje nga Aksidentet
- Outsourcing i Proceseve të Biznesit (BPO)
ADN-ja Teknike dhe Evolucioni
Analiza zbulon ngjashmëri në kod midis GLOBAL GROUP dhe Mamona, si dhe përdorimin e të njëjtit ofrues rus VPS (IpServer). Ransomware-i, i shkruar në Go, ofron aftësi instalimi në të gjithë domenin, duke e dalluar atë nga versionet e mëparshme. Ky ndryshim teknologjik nënvizon një lëvizje strategjike për të zgjeruar angazhimin e bashkëpunëtorëve dhe për të rritur qëndrueshmërinë operacionale.
Pse GLOBAL GROUP shfaq rreziqe në rritje
Lançimi i GLOBAL GROUP ilustron një shtytje të qëllimshme nga operatorët e ransomware-it për të inovuar, duke përfshirë negociata të mundësuara nga inteligjenca artificiale, ndërtues të ngarkesës së personalizueshme dhe stimuj të përparuar të bashkëpunëtorëve. Ky modernizim sinjalizon një garë armatimi në rritje brenda peizazhit të ransomware-it, duke paraqitur një kërcënim të rëndësishëm për mbrojtjet globale të sigurisë kibernetike.
