Експлуатація RaaS у ГЛОБАЛЬНІЙ ГРУПІ
Експерти з кібербезпеки виявили нову операцію Ransomware-as-a-Service (RaaS) під назвою GLOBAL GROUP. З початку червня 2025 року ця кампанія активно спрямована на організації по всій Австралії, Бразилії, Європі та Сполучених Штатах. Ця кампанія знаменує собою значну еволюцію в екосистемі програм-вимагачів.
Зміст
Від BlackLock до GLOBAL GROUP: Стратегія ребрендингу
За цією новою схемою стоїть зловмисник під ніком «$$$», який раніше контролював BlackLock RaaS та керував операцією з програмою-вимагачем Mamona. GLOBAL GROUP рекламувався на форумі Ramp4u та вважається ребрендингом BlackLock, який сам по собі виник з Eldorado.
Ребрендинг відбувся після інциденту в березні 2025 року, коли сайт витоку даних BlackLock був пошкоджений картелем DragonForce. Запровадивши GLOBAL GROUP, оператори мали на меті модернізувати свою інфраструктуру, підвищити привабливість для партнерів та відновити довіру.
Тактика атаки та вектори входу
GLOBAL GROUP застосовує фінансово мотивований підхід, використовуючи брокерів початкового доступу (IAB) для мережевого проникнення. Ці брокери надають попередньо скомпрометований доступ до корпоративних мереж, дозволяючи афілійованим особам зосередитися на розгортанні програм-вимагачів та переговорах, а не на зусиллях щодо проникнення.
Ключові методи включають:
- Використання доступу до вразливих периферійних пристроїв Cisco, Fortinet та Palo Alto як зброї
- Використання утиліт грубої сили, спрямованих на портали Microsoft Outlook та RDWeb
- Отримання доступу до протоколу віддаленого робочого столу (RDP) або веб-оболонки для юридичних фірм та подібних цілей
Потрапивши всередину, зловмисники розгортають інструменти пост-експлуатації, здійснюють латеральний перехід, викрадають конфіденційні дані та запускають корисні навантаження програм-вимагачів.
Всередині екосистеми RaaS
GLOBAL GROUP пропонує розширену партнерську панель та платформу для переговорів. Партнерська панель надає партнерам можливість:
- Створюйте корисні навантаження програм-вимагачів для VMware ESXi, NAS, BSD та Windows.
- Відстежуйте жертв та керуйте операціями.
- Використовуйте функції, зручні для мобільних пристроїв, для управління в режимі реального часу.
Партнерам обіцяють 85% частки доходу, що є привабливим стимулом для рекрутингу. Портал переговорів, що працює на базі чат-ботів на базі штучного інтелекту, забезпечує багатомовну взаємодію, що полегшує партнерам, які не розмовляють англійською, ефективну взаємодію з жертвами.
Профіль жертви та глобальний вплив
Станом на 14 липня 2025 року GLOBAL GROUP заявила про 17 жертв у різних секторах, зокрема:
- Охорона здоров'я
- Виготовлення нафтогазового обладнання
- Промислове машинобудування та точне машинобудування
- Послуги з ремонту автомобілів та ліквідації наслідків ДТП
- Аутсорсинг бізнес-процесів (BPO)
Технічна ДНК та еволюція
Аналіз виявляє схожість коду між GLOBAL GROUP та Mamona, а також використання того самого російського VPS-провайдера (IpServer). Програма-вимагач, написана на Go, має можливості встановлення на весь домен, що відрізняє її від попередніх версій. Цей технологічний зсув підкреслює стратегічний крок до розширення залучення партнерів та підвищення операційної стійкості.
Чому GLOBAL GROUP демонструє зростання ризиків
Запуск GLOBAL GROUP ілюструє цілеспрямоване прагнення операторів програм-вимагачів до інновацій, включаючи переговори на основі штучного інтелекту, налаштовувані конструктори корисного навантаження та розширені партнерські стимули. Ця модернізація сигналізує про ескалацію гонки озброєнь у сфері програм-вимагачів, що створює значну загрозу для глобальної кібербезпеки.
