Hoạt động RaaS của GLOBAL GROUP
Các chuyên gia an ninh mạng đã phát hiện ra một chiến dịch Ransomware-as-a-Service (RaaS) mới mang tên GLOBAL GROUP. Kể từ đầu tháng 6 năm 2025, chiến dịch này đã tích cực nhắm mục tiêu vào các tổ chức trên khắp Úc, Brazil, Châu Âu và Hoa Kỳ. Chiến dịch này đánh dấu một bước tiến đáng kể trong hệ sinh thái ransomware.
Mục lục
Từ BlackLock đến GLOBAL GROUP: Chiến lược đổi mới thương hiệu
Kẻ tấn công được biết đến với cái tên '$$$', kẻ trước đây kiểm soát BlackLock RaaS và quản lý hoạt động ransomware Mamona, chính là kẻ đứng sau âm mưu mới này. GLOBAL GROUP đã được quảng bá trên diễn đàn Ramp4u và được nhiều người coi là phiên bản đổi tên của BlackLock, vốn có nguồn gốc từ Eldorado.
Việc đổi tên thương hiệu diễn ra sau sự cố vào tháng 3 năm 2025, khi trang web rò rỉ dữ liệu của BlackLock bị nhóm DragonForce phá hoại. Bằng cách giới thiệu GLOBAL GROUP, các nhà điều hành mong muốn hiện đại hóa cơ sở hạ tầng, tăng cường sức hấp dẫn với các đối tác liên kết và khôi phục uy tín.
Chiến thuật tấn công và hướng xâm nhập
GLOBAL GROUP áp dụng phương pháp tiếp cận dựa trên động lực tài chính bằng cách tận dụng các Nhà môi giới Truy cập Ban đầu (IAB) để xâm nhập mạng. Các nhà môi giới này cung cấp quyền truy cập đã được xâm nhập trước vào mạng doanh nghiệp, cho phép các chi nhánh tập trung vào việc triển khai và đàm phán mã độc tống tiền thay vì các nỗ lực xâm nhập.
Các kỹ thuật chính bao gồm:
- Vũ khí hóa quyền truy cập vào các thiết bị biên dễ bị tấn công của Cisco, Fortinet và Palo Alto
- Sử dụng các tiện ích tấn công brute-force nhắm vào các cổng thông tin Microsoft Outlook và RDWeb
- Có được Giao thức máy tính từ xa (RDP) hoặc quyền truy cập web shell cho các công ty luật và các mục tiêu tương tự
Khi đã xâm nhập vào bên trong, kẻ tấn công triển khai các công cụ khai thác sau, thực hiện di chuyển ngang, đánh cắp dữ liệu nhạy cảm và khởi chạy phần mềm tống tiền.
Bên trong Hệ sinh thái RaaS
GLOBAL GROUP cung cấp một nền tảng đàm phán và bảng điều khiển liên kết toàn diện. Bảng điều khiển liên kết này trao quyền cho các đối tác:
- Xây dựng phần mềm tống tiền cho VMware ESXi, NAS, BSD và Windows.
- Theo dõi nạn nhân và quản lý hoạt động.
- Sử dụng các tính năng thân thiện với thiết bị di động để quản lý theo thời gian thực.
Các chi nhánh được hứa hẹn chia sẻ 85% doanh thu, một ưu đãi hấp dẫn cho việc tuyển dụng. Cổng đàm phán, được hỗ trợ bởi chatbot AI, cho phép tương tác đa ngôn ngữ, giúp các chi nhánh không nói tiếng Anh dễ dàng tương tác hiệu quả với nạn nhân.
Hồ sơ nạn nhân và tác động toàn cầu
Tính đến ngày 14 tháng 7 năm 2025, GLOBAL GROUP đã xác nhận 17 nạn nhân trên nhiều lĩnh vực khác nhau, bao gồm:
- Chăm sóc sức khỏe
- Chế tạo thiết bị dầu khí
- Máy móc công nghiệp và kỹ thuật chính xác
- Dịch vụ sửa chữa ô tô và phục hồi sau tai nạn
- Gia công quy trình kinh doanh (BPO)
DNA kỹ thuật và sự tiến hóa
Phân tích cho thấy sự tương đồng về mã giữa GLOBAL GROUP và Mamona, cũng như việc sử dụng cùng một nhà cung cấp VPS của Nga (IpServer). Phần mềm tống tiền này, được viết bằng ngôn ngữ Go, có khả năng cài đặt trên toàn miền, tạo nên sự khác biệt so với các phiên bản trước. Sự thay đổi công nghệ này nhấn mạnh một động thái chiến lược nhằm mở rộng sự tham gia của các chi nhánh và tăng cường khả năng phục hồi hoạt động.
Tại sao GLOBAL GROUP lại trình bày những rủi ro ngày càng tăng
Sự ra mắt của GLOBAL GROUP cho thấy nỗ lực đổi mới có chủ đích của các hacker ransomware, kết hợp các cuộc đàm phán được hỗ trợ bởi AI, trình xây dựng tải trọng tùy chỉnh và các ưu đãi liên kết nâng cao. Sự hiện đại hóa này báo hiệu một cuộc chạy đua vũ trang đang leo thang trong bối cảnh ransomware, gây ra mối đe dọa đáng kể cho các biện pháp phòng thủ an ninh mạng toàn cầu.
