环球集团RaaS运营
网络安全专家发现了一个名为“GLOBAL GROUP”的新型勒索软件即服务 (RaaS) 攻击活动。自 2025 年 6 月初以来,该攻击活动一直积极攻击澳大利亚、巴西、欧洲和美国的组织。此次攻击活动标志着勒索软件生态系统的重大演变。
目录
从 BlackLock 到 GLOBAL GROUP:品牌重塑战略
被称为“$$$”的威胁行为者是这一新计划的幕后黑手,他曾控制 BlackLock RaaS 并管理 Mamona 勒索软件运营。GLOBAL GROUP 在 Ramp4u 论坛上进行推广,被广泛认为是 BlackLock 的品牌重塑,而 BlackLock 本身源自 Eldorado。
此次品牌重塑源于2025年3月发生的一起事件,当时BlackLock的数据泄露网站遭到DragonForce集团的破坏。通过引入GLOBAL GROUP,运营商旨在实现基础设施的现代化,增强联盟的吸引力,并恢复信誉。
攻击策略和入侵途径
GLOBAL GROUP 采取以经济利益为目的的策略,利用初始访问代理 (IAB) 进行网络渗透。这些代理提供预先入侵的企业网络访问权限,使关联公司能够专注于勒索软件的部署和谈判,而非渗透工作。
关键技术包括:
- 利用易受攻击的 Cisco、Fortinet 和 Palo Alto 边缘设备的访问权限
- 使用暴力破解工具攻击 Microsoft Outlook 和 RDWeb 门户
- 获取律师事务所及类似目标的远程桌面协议 (RDP) 或 Web Shell 访问权限
一旦进入系统,攻击者就会部署后利用工具、执行横向移动、窃取敏感数据并启动勒索软件负载。
RaaS 生态系统内部
GLOBAL GROUP 提供全面的联盟合作伙伴平台和谈判平台。联盟合作伙伴平台能够:
- 为 VMware ESXi、NAS、BSD 和 Windows 构建勒索软件负载。
- 追踪受害者并管理行动。
- 利用移动友好功能进行实时管理。
联盟会员将获得 85% 的收入分成,这对招募会员来说是一个极具吸引力的激励措施。该谈判门户由人工智能聊天机器人提供支持,支持多语言互动,让非英语联盟会员能够更轻松地与受害者进行有效沟通。
受害者概况和全球影响
截至 2025 年 7 月 14 日,GLOBAL GROUP 已在不同行业造成 17 名受害者,其中包括:
- 卫生保健
- 石油天然气设备制造
- 工业机械和精密工程
- 汽车维修和事故恢复服务
- 业务流程外包(BPO)
技术 DNA 与演进
分析显示,GLOBAL GROUP 与 Mamona 的代码相似,并且使用了相同的俄罗斯 VPS 提供商 (IpServer)。该勒索软件使用 Go 语言编写,具有全域安装功能,这与之前的版本有所不同。此次技术转变凸显了 GLOBAL GROUP 为扩大联盟参与度并提升运营韧性而采取的战略举措。
环球集团为何面临日益增加的风险
GLOBAL GROUP 的推出体现了勒索软件运营商积极推动创新的决心,其技术包括人工智能谈判、可定制的有效载荷构建器以及先进的联盟激励机制。此次现代化升级标志着勒索软件领域军备竞赛的不断升级,对全球网络安全防御构成了重大威胁。
