ГЛОБАЛ ГРУП RaaS операција
Стручњаци за сајбер безбедност открили су нову операцију „Ransomware-as-a-Service“ (RaaS) под називом GLOBAL GROUP. Од почетка јуна 2025. године, ова кампања активно циља организације широм Аустралије, Бразила, Европе и Сједињених Држава. Ова кампања означава значајну еволуцију у екосистему ransomware-а.
Преглед садржаја
Од БлекЛока до ГЛОБАЛ ГРУПЕ: Стратегија ребрендирања
Претећи актер познат као „$$$“, који је раније контролисао BlackLock RaaS и управљао операцијом рансомвера Mamona, стоји иза ове нове шеме. GLOBAL GROUP је промовисан на форуму Ramp4u и сматра се ребрендом BlackLock-а, који је сам по себи настао из Eldorado-а.
Ребрендирање је уследило након инцидента у марту 2025. године, када је картел ДрагонФорс уништио сајт за цурење података компаније БлекЛок. Увођењем ГЛОБАЛ ГРУПЕ, оператери су имали за циљ да модернизују своју инфраструктуру, побољшају привлачност за партнере и врате кредибилитет.
Тактике напада и вектори уласка
ГЛОБАЛ ГРУПА усваја финансијски мотивисан приступ користећи брокере почетног приступа (IAB) за инфилтрацију мреже. Ови брокери пружају претходно угрожен приступ корпоративним мрежама, омогућавајући филијалама да се фокусирају на распоређивање и преговоре о ransomware-у, уместо на напоре за пенетрацију.
Кључне технике укључују:
- Претварање приступа у рањиве уређаје Cisco, Fortinet и Palo Alto на оружје
- Коришћење услужних програма за грубу силу усмерених на Microsoft Outlook и RDWeb портале
- Добијање приступа путем протокола за удаљену радну површину (RDP) или веб љуске за адвокатске канцеларије и сличне циљеве
Једном унутра, нападачи користе алате након експлоатације, изводе бочно кретање, краду осетљиве податке и покрећу рансомвер.
Унутар RaaS екосистема
ГЛОБАЛ ГРУПА нуди опсежан партнерски панел и платформу за преговоре. Партнерски панел омогућава партнерима да:
- Направите корисне садржаје ransomware-а за VMware ESXi, NAS, BSD и Windows.
- Пратите жртве и управљајте операцијама.
- Користите функције прилагођене мобилним уређајима за управљање у реалном времену.
Партнерима се обећава удео у приходу од 85%, што је атрактиван подстицај за регрутовање. Портал за преговоре, који покрећу четботови вођени вештачком интелигенцијом, омогућава вишејезичну интеракцију, што партнерима који не говоре енглески језик олакшава ефикасну интеракцију са жртвама.
Профил жртве и глобални утицај
Закључно са 14. јулом 2025. године, ГЛОБАЛ ГРУП је поднела захтев за 17 жртава у различитим секторима, укључујући:
- Здравствена заштита
- Израда опреме за нафту и гас
- Индустријске машине и прецизно инжењерство
- Услуге поправке аутомобила и услуге опоравка након незгода
- Аутсорсинг пословних процеса (BPO)
Техничка ДНК и еволуција
Анализа открива сличности у коду између GLOBAL GROUP и Mamona, као и коришћење истог руског VPS провајдера (IpServer). Ransomware, написан у Go језику, има могућности инсталације на нивоу целог домена, што га разликује од ранијих верзија. Ова технолошка промена наглашава стратешки потез ка проширењу ангажовања партнера и повећању оперативне отпорности.
Зашто ГЛОБАЛ ГРУПА истиче растуће ризике
Покретање GLOBAL GROUP-а илуструје намерни напор оператера ransomware-а ка иновацијама, укључујући преговоре засноване на вештачкој интелигенцији, прилагодљиве креаторе корисног оптерећења и напредне подстицаје за партнере. Ова модернизација сигнализира ескалацију трке у наоружању унутар ransomware окружења, што представља значајну претњу глобалној одбрани од сајбер безбедности.
