การดำเนินงาน RaaS ของกลุ่มโกลบอล

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปฏิบัติการ Ransomware-as-a-Service (RaaS) รูปแบบใหม่ที่เรียกว่า GLOBAL GROUP นับตั้งแต่ต้นเดือนมิถุนายน 2568 แคมเปญนี้ได้พุ่งเป้าโจมตีองค์กรต่างๆ ทั่วออสเตรเลีย บราซิล ยุโรป และสหรัฐอเมริกา แคมเปญนี้ถือเป็นวิวัฒนาการครั้งสำคัญในระบบนิเวศของแรนซัมแวร์

จาก BlackLock สู่ GLOBAL GROUP: กลยุทธ์การสร้างแบรนด์ใหม่

ผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ '$$$' ซึ่งเคยควบคุม BlackLock RaaS และจัดการปฏิบัติการแรนซัมแวร์ Mamona อยู่เบื้องหลังแผนการใหม่นี้ GLOBAL GROUP ได้รับการโปรโมตบนฟอรัม Ramp4u และถือกันอย่างกว้างขวางว่าเป็นการรีแบรนด์ของ BlackLock ซึ่งมีต้นกำเนิดมาจาก Eldorado

การรีแบรนด์ครั้งนี้เกิดขึ้นหลังจากเหตุการณ์ในเดือนมีนาคม 2568 เมื่อเว็บไซต์รั่วไหลของ BlackLock ถูกกลุ่ม DragonForce ทำลายข้อมูล การเปิดตัว GLOBAL GROUP ในครั้งนี้ ผู้ประกอบการมีเป้าหมายที่จะปรับปรุงโครงสร้างพื้นฐานให้ทันสมัย เพิ่มความน่าสนใจให้กับพันธมิตร และฟื้นฟูความน่าเชื่อถือ

กลยุทธ์การโจมตีและช่องทางเข้า

GLOBAL GROUP ใช้แนวทางที่มุ่งเน้นด้านการเงินโดยใช้ประโยชน์จาก Initial Access Brokers (IABs) สำหรับการแทรกซึมเครือข่าย โบรกเกอร์เหล่านี้ให้บริการการเข้าถึงเครือข่ายองค์กรแบบก่อนถูกบุกรุก ช่วยให้บริษัทในเครือสามารถมุ่งเน้นไปที่การติดตั้งและเจรจาต่อรองเกี่ยวกับแรนซัมแวร์ แทนที่จะมุ่งเน้นไปที่การเจาะระบบ

เทคนิคที่สำคัญ ได้แก่:

• การใช้อาวุธเข้าถึงอุปกรณ์ Edge ของ Cisco, Fortinet และ Palo Alto ที่มีช่องโหว่
• การใช้ยูทิลิตี้บรูทฟอร์ซที่กำหนดเป้าหมายไปที่พอร์ทัล Microsoft Outlook และ RDWeb
• การรับโปรโตคอลเดสก์ท็อประยะไกล (RDP) หรือการเข้าถึงเชลล์เว็บสำหรับสำนักงานกฎหมายและเป้าหมายที่คล้ายคลึงกัน

เมื่อเข้าไปข้างในแล้ว ผู้โจมตีจะใช้เครื่องมือหลังการโจมตี ดำเนินการเคลื่อนที่ในแนวขวาง ขโมยข้อมูลที่ละเอียดอ่อน และเปิดเพย์โหลดแรนซัมแวร์

ภายในระบบนิเวศ RaaS

GLOBAL GROUP นำเสนอแพลตฟอร์มและแพลตฟอร์มการเจรจาต่อรองที่ครอบคลุม แพลตฟอร์มนี้ช่วยให้พันธมิตรสามารถ:

• สร้างเพย์โหลดแรนซัมแวร์สำหรับ VMware ESXi, NAS, BSD และ Windows
• ติดตามเหยื่อและจัดการการดำเนินงาน
• ใช้คุณสมบัติที่เป็นมิตรต่อมือถือเพื่อการจัดการแบบเรียลไทม์

พันธมิตรจะได้รับส่วนแบ่งรายได้ 85% ซึ่งเป็นแรงจูงใจที่น่าสนใจสำหรับการรับสมัคร พอร์ทัลการเจรจาที่ขับเคลื่อนด้วยแชทบอทที่ขับเคลื่อนด้วย AI ช่วยให้สามารถโต้ตอบได้หลายภาษา ช่วยให้พันธมิตรที่ไม่ได้ใช้ภาษาอังกฤษสามารถติดต่อกับเหยื่อได้อย่างมีประสิทธิภาพมากขึ้น

โปรไฟล์เหยื่อและผลกระทบระดับโลก

ณ วันที่ 14 กรกฎาคม พ.ศ. 2568 GLOBAL GROUP ได้คร่าชีวิตผู้เสียหาย 17 รายจากหลากหลายภาคส่วน รวมถึง:

• การดูแลสุขภาพ
• การผลิตอุปกรณ์น้ำมันและก๊าซ
• เครื่องจักรอุตสาหกรรมและวิศวกรรมแม่นยำ
• บริการซ่อมรถยนต์และฟื้นฟูอุบัติเหตุ
• การเอาท์ซอร์สกระบวนการทางธุรกิจ (BPO)

ดีเอ็นเอทางเทคนิคและวิวัฒนาการ

การวิเคราะห์เผยให้เห็นความคล้ายคลึงกันของโค้ดระหว่าง GLOBAL GROUP และ Mamona รวมถึงการใช้ผู้ให้บริการ VPS (IpServer) รายเดียวกันในรัสเซีย แรนซัมแวร์ที่เขียนด้วยภาษา Go นี้มีความสามารถในการติดตั้งได้ทั่วทั้งโดเมน ซึ่งทำให้แตกต่างจากเวอร์ชันก่อนหน้า การเปลี่ยนแปลงทางเทคโนโลยีนี้เน้นย้ำถึงกลยุทธ์ในการขยายการมีส่วนร่วมของพันธมิตรและเพิ่มความยืดหยุ่นในการดำเนินงาน

เหตุใด GLOBAL GROUP จึงแสดงให้เห็นถึงความเสี่ยงที่เพิ่มขึ้น

การเปิดตัว GLOBAL GROUP สะท้อนให้เห็นถึงการผลักดันอย่างจงใจของผู้ดำเนินการแรนซัมแวร์ในการคิดค้นนวัตกรรมใหม่ ๆ ซึ่งรวมถึงการเจรจาต่อรองที่ขับเคลื่อนด้วย AI เครื่องมือสร้างเพย์โหลดที่ปรับแต่งได้ และแรงจูงใจขั้นสูงจากพันธมิตร การปรับปรุงครั้งนี้เป็นสัญญาณของการแข่งขันด้านอาวุธที่ทวีความรุนแรงขึ้นในวงการแรนซัมแวร์ ซึ่งก่อให้เกิดภัยคุกคามร้ายแรงต่อระบบป้องกันความมั่นคงปลอดภัยทางไซเบอร์ทั่วโลก