Ricercatori di cybersecurity svelano il nuovo ransomware-as-a-service GLOBAL GROUP
Un’operazione di ransomware-as-a-service (RaaS) chiamata GLOBAL GROUP ha preso di mira diversi settori in Australia, Brasile, Europa e Stati Uniti sin dal suo debutto a giugno 2025. Questo nuovo gruppo è stato promosso sul forum Ramp4u dall’attore di minacce noto come ‘$$$’, secondo il ricercatore di EclecticIQ, Arda Büyükkaya. Lo stesso attore è responsabile del BlackLock RaaS e in passato ha gestito le operazioni di ransomware Mamona.
Si ritiene che GLOBAL GROUP sia una ribrandizzazione di BlackLock, dopo che il sito di leak di quest’ultimo è stato compromesso dal cartello ransomware DragonForce a marzo. BlackLock stesso era una ribrandizzazione di un altro schema RaaS noto come Eldorado. Il gruppo, motivato finanziariamente, si affida pesantemente a broker di accesso iniziale (IAB) per distribuire il ransomware, sfruttando l’accesso a dispositivi edge vulnerabili di Cisco, Fortinet e Palo Alto Networks. Utilizzano anche utility di forza bruta per i portali Microsoft Outlook e RDWeb.
$$$ ha acquisito accesso tramite Remote Desktop Protocol (RDP) o web shell a reti aziendali, come quelle di studi legali, per distribuire strumenti di post-sfruttamento, condurre movimenti laterali, sottrarre dati e distribuire il ransomware. Esternalizzare la fase di infiltrazione ad altri attori di minacce, che forniscono punti di ingresso pre-compromessi nelle reti aziendali, consente agli affiliati di concentrarsi sulla consegna del payload, l’estorsione e la negoziazione piuttosto che sulla penetrazione della rete.
La piattaforma RaaS include un portale di negoziazione e un pannello per gli affiliati, che permette ai cybercriminali di gestire le vittime, costruire payload di ransomware per VMware ESXi, NAS, BSD e Windows, e monitorare le operazioni. Per attrarre più affiliati, gli attori di minacce offrono un modello di condivisione dei ricavi dell’85%.
Il pannello di negoziazione di GLOBAL GROUP presenta un sistema automatizzato alimentato da chatbot basati su intelligenza artificiale, consentendo agli affiliati non anglofoni di interagire più efficacemente con le vittime. Al 14 luglio 2025, il gruppo RaaS ha rivendicato 17 vittime in Australia, Brasile, Europa e Stati Uniti, coprendo settori come sanità, fabbricazione di attrezzature per petrolio e gas, macchinari industriali e ingegneria di precisione, riparazione automobilistica, servizi di recupero incidenti e outsourcing di processi aziendali su larga scala (BPO).
I collegamenti a BlackLock e Mamona derivano dall’uso dello stesso provider VPS russo IpServer e dalle somiglianze nel codice sorgente con Mamona. In particolare, GLOBAL GROUP è considerato un’evoluzione di Mamona con funzionalità aggiuntive per consentire l’installazione di ransomware a livello di dominio. Inoltre, il malware è scritto in Go, proprio come BlackLock.
La creazione di GLOBAL GROUP da parte dell’amministratore di BlackLock è una strategia deliberata per modernizzare le operazioni, espandere le fonti di reddito e rimanere competitivi nel mercato del ransomware, ha affermato Büyükkaya. Questo nuovo marchio integra negoziazioni alimentate dall’intelligenza artificiale, pannelli ottimizzati per dispositivi mobili e altre funzionalità avanzate.
Fonte: The Hackers News
