Rabattoffert för flera licenser
Hotdatabas Ransomware GLOBAL GROUP RaaS-verksamhet

GLOBAL GROUP RaaS-verksamhet

Med Mezo år Ransomware
Översätt till:

Cybersäkerhetsexperter har avslöjat en ny RaaS-operation (Ransomware-as-a-Service) som kallas GLOBAL GROUP. Sedan början av juni 2025 har kampanjen aktivt riktat sig mot organisationer i Australien, Brasilien, Europa och USA. Kampanjen markerar en betydande utveckling i ransomware-ekosystemet.

Från BlackLock till GLOBAL GROUP: En omprofileringsstrategi

Hotaktören känd som '$$$', som tidigare kontrollerade BlackLock RaaS och hanterade ransomware-operationen Mamona, ligger bakom denna nya plan. GLOBAL GROUP marknadsfördes på Ramp4u-forumet och anses allmänt vara en omdöpning av BlackLock, som i sig har sitt ursprung i Eldorado.

Omdöpningen följde på en incident i mars 2025, då BlackLocks webbplats för dataläckor vanställdes av DragonForce-kartellen. Genom att introducera GLOBAL GROUP ville operatörerna modernisera sin infrastruktur, öka affiliate-attraktionskraften och återställa trovärdigheten.

Attacktaktik och inträdesvektorer

GLOBAL GROUP använder en ekonomiskt motiverad strategi genom att utnyttja Initial Access Brokers (IAB) för nätverksinfiltration. Dessa mäklare tillhandahåller förkomprometterad åtkomst till företagsnätverk, vilket gör det möjligt för dotterbolag att fokusera på distribution och förhandlingar om ransomware snarare än penetrationsinsatser.

Viktiga tekniker inkluderar:

  • Vapenbaserad åtkomst till sårbara Cisco-, Fortinet- och Palo Alto-edge-enheter
  • Använda brute-force-verktyg riktade mot Microsoft Outlook och RDWeb-portaler
  • Förvärva åtkomst via Remote Desktop Protocol (RDP) eller webbshell för advokatbyråer och liknande mål

Väl inuti distribuerar angriparna verktyg efter utnyttjande, utför sidoförflyttningar, exfiltrerar känslig data och lanserar ransomware-nyttolaster.

Inuti RaaS-ekosystemet

GLOBAL GROUP erbjuder en omfattande affiliatepanel och förhandlingsplattform. Affiliatepanelen ger partners möjlighet att:

  • Bygg ransomware-nyttolaster för VMware ESXi, NAS, BSD och Windows.
  • Spåra offer och hantera operationer.
  • Använd mobilvänliga funktioner för realtidshantering.

Affiliates utlovas en intäktsandel på 85 %, ett attraktivt incitament för rekrytering. Förhandlingsportalen, som drivs av AI-drivna chattrobotar, möjliggör flerspråkig interaktion, vilket gör det enklare för icke-engelsktalande affiliates att effektivt interagera med offer.

Offerprofil och global påverkan

Per den 14 juli 2025 har GLOBAL GROUP krävt 17 offer inom olika sektorer, inklusive:

  • Hälsovård
  • Tillverkning av olje- och gasutrustning
  • Industrimaskiner och precisionsteknik
  • Bilreparationer och räddningstjänster efter olyckor
  • Outsourcing av affärsprocesser (BPO)

Tekniskt DNA och evolution

Analysen avslöjar kodlikheter mellan GLOBAL GROUP och Mamona, samt användningen av samma ryska VPS-leverantör (IpServer). Ransomware, skrivet i Go, har domänomfattande installationsmöjligheter, vilket skiljer det från tidigare versioner. Detta teknologiska skifte understryker ett strategiskt drag för att utöka affiliate-engagemang och öka den operativa motståndskraften.

Varför GLOBAL GROUP visar upp ökande risker

Lanseringen av GLOBAL GROUP illustrerar en medveten strävan från ransomware-operatörer att förnya sig, genom att införliva AI-drivna förhandlingar, anpassningsbara nyttolastbyggare och avancerade affiliate-incitament. Denna modernisering signalerar en eskalerande kapprustning inom ransomware-landskapet och utgör ett betydande hot mot globala cybersäkerhetsförsvar.

Trendigt

Mest sedda

Läser in...