Una nueva amenaza de ransomware sofisticada ha surgido del subterráneo cibercriminal, dirigiendo a las organizaciones a través de múltiples sistemas operativos con capacidades de multiplataforma avanzada.
En junio de 2025, un actor de ransomware que opera bajo el alias “dólar dólar dólar” introdujo el grupo global en el Foro Ramp4u Cyercrime, que lo comercializa como una plataforma de ransomware como servicio (RAAS) de vanguardia.
El grupo prometió afiliados a las operaciones escalables con negociaciones automatizadas, cargas útiles multiplataforma y generosos acuerdos de participación en las ganancias que podrían atraer a los ciberdelincuentes que buscan oportunidades confiables de monetización.
El malware representa una evolución significativa en el desarrollo de ransomware, utilizando un lenguaje de programación de Golang para crear binarios monolíticos capaces de ejecutar sin problemas en los entornos de Windows, Linux y MacOS.
Este enfoque multiplataforma permite a los actores de amenaza dirigirse a diversas infraestructuras de TI dentro de una sola campaña de ataque, maximizando su posible grupo de víctimas y su eficiencia operativa.
La elección de Golang refleja las tendencias actuales de la industria en las que los atacantes aprovechan el modelo de concurrencia del idioma y las capacidades de vinculación estática para acelerar los procesos de cifrado a una escala sin precedentes.
Sin embargo, el análisis forense realizado por los investigadores de PICUS Security Labs reveló Ese grupo global no es una familia de amenazas completamente nueva, sino un cambio de marca sofisticado de las operaciones de ransomware existentes.
A través del examen detallado de muestras de malware, configuraciones de infraestructura y patrones operativos, los analistas identificaron conexiones claras con las desaparecidas familias de ransomware de bloqueo de Mamona y bloqueo negro, lo que sugiere continuidad en lugar de innovación en el panorama de amenazas.
La evidencia de esta conexión se hace evidente a través de artefactos técnicos integrados dentro de las muestras de malware.
El binario de ransomware contiene una cadena mutex distintiva “global \ fxo16jmdgujs437” que previene múltiples ejecuciones simultáneas del proceso de ransomware.
Este mutex idéntico se identificó previamente en las muestras de ransomware RIP de Mamona, lo que indica la herencia directa de la base de código en lugar de la similitud coincidente.
La reutilización de tales marcadores técnicos específicos demuestra que Global Group representa una evolución de las metodologías de ataque probadas en lugar de un desarrollo fundamental.
Arquitectura avanzada de cifrado y carga útil
La sofisticación técnica del ransomware se extiende más allá de sus capacidades multiplataforma para abarcar implementaciones criptográficas modernas y estrategias de ejecución optimizadas.
Global Group emplea el algoritmo de cifrado Chacha20-Poly1305, una elección contemporánea que proporciona confidencialidad y verificación de integridad de mensajes.
Esta selección de algoritmo demuestra el compromiso de los operadores de implementar un cifrado sólido que resiste la criptoanálisis mientras se mantiene la eficiencia operativa durante las operaciones de procesamiento de archivos a gran escala.
La arquitectura del malware explota la concurrencia nativa de Golang.
Este enfoque de procesamiento paralelo reduce significativamente el tiempo requerido para cifrar los sistemas de víctimas, minimizando la ventana para la detección y la respuesta.
Cada archivo encriptado recibe una extensión personalizada definida por afiliados individuales, como “.LockBitBloch”, mientras que los propios nombres de archivo a menudo están encriptados para complicar aún más los esfuerzos de recuperación sin las claves de descifrado adecuadas.
La descompilación del binario revela la lógica de construcción de notas de rescate codificados incrustados directamente dentro del ejecutable.
El malware utiliza llamadas de funciones específicas para reunir mensajes de comunicación de víctimas, incluidas las direcciones de red TOR integradas para acceder a sitios de filtración y portales de negociación.
Esta integración demuestra el enfoque de los operadores en optimizar el proceso de extorsión mientras se mantiene la seguridad operativa a través de canales de comunicación anonimizados.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
