Una nueva operación sofisticada de ransomware como servicio ha surgido con capacidades de negociación avanzadas con IA y características de gestión móvil, dirigidas a organizaciones en sectores de atención médica, automotriz e industrial.
Global Group, operado por el actor de amenazas “$$$”, ha reclamado 17 víctimas en varios países desde su lanzamiento de junio de 2025, lo que demuestra una escalada operativa rápida a través de sistemas automatizados y asociaciones estratégicas con corredores de acceso iniciales.
Control de llave
1. Global Group se lanzó en junio de 2025 como una operación renombrada de Black Lock Raas, reclamando 17 víctimas en los Estados Unidos, Reino Unido, Australia y Brasil.
2. Sistema de negociación impulsado por IA automatiza las comunicaciones de las víctimas y permite a los afiliados que no hablan inglés exigen rescates de siete cifras.
3. Asociaciones con corredores de acceso iniciales y herramientas de fuerza bruta dirigida a los sistemas VPN/Outlook aceleran la implementación al tiempo que evita la detección de EDR.
4.
Sistema de negociación con IA
Global Group apareció por primera vez el 2 de junio de 2025, cuando el actor de amenazas “$$$” promovió la operación en el Foro Cibercriminal RAMP4U.
El sitio de fuga dedicado del grupo, accesible a través de la dirección TOR VG6XWKMFYIRV3L6QTQUS7JYKCUVGX6IMEGB73HQNY2AVXCCNMQT5M2ID (.) Cebolla, inicialmente enumeró nueve víctimas dentro de los cinco días posteriores al lanzamiento.
Global Group DLS alojado en la red Tor
Para el 14 de julio de 2025, la operación se había expandido a 17 víctimas confirmadas que abarcan los Estados Unidos, el Reino Unido, Australia y Brasil.
Los analistas de ECLECTICIQ evalúan con la confianza media de que Global Group representa un cambio de marca de la operación Black Lock Raas.
La evidencia técnica respalda esta conexión, incluida la infraestructura compartida alojada por el proveedor de VPS ruso IPserver en la dirección IP 193.19.199 (.) 4.
Una falla de seguridad operativa expuso esta infraestructura cuando el punto final /publicaciones API del grupo filtró metadatos JSON que contienen los detalles del entorno de alojamiento real.
Análisis de malware revelado Ese grupo global utiliza una variante personalizada del ransomware de Mamona anterior, compartiendo la clave mutex idéntica global \ fxo16jmdgujs437.
La variante actual, compilada en Golang, emplea el cifrado Chacha20-Poly1305 y admite la implementación multiplataforma en entornos de Windows, Linux y MacOS.
La característica más distintiva del Grupo Global es su panel de negociación impulsado por la IA, diseñado para ayudar a afiliados que no hablan inglés en las comunicaciones de las víctimas.
Panel de negociación, el actor de amenaza exige 1 millón de dólares estadounidenses
Este sistema automatizado aumenta la presión psicológica durante las negociaciones de rescate y facilita las demandas de pago de siete cifras. Las negociaciones recientes han mostrado demandas que alcanzan los $ 1 millón de USD (aproximadamente 9.5 BTC).
La operación ofrece un modelo de intercambio de ingresos del 85% para atraer afiliados, posicionándose competitivamente contra otros operadores de RAAS.
Un video promocional en el sitio de filtración muestra un panel de afiliados integral que respalda la gestión de dispositivos móviles, lo que permite a los operativos realizar negociaciones a través de teléfonos inteligentes.
La plataforma admite compilaciones de ransomware personalizadas para los sistemas ESXi, NAS, BSD y Windows, al tiempo que afirma ser “indetectable por EDR”.
Global Group acelera las operaciones a través de asociaciones con corredores de acceso inicial (IBAB), compra el acceso a la red precompprometido en lugar de realizar infiltración inicial.
El actor de amenaza “$$$” ha adquirido acceso RDP a firmas de abogados estadounidenses y acceso web a los sistemas SAP NetWeaver basados en Linux. La operación se dirige particularmente a los dispositivos de red de borde, incluidos dispositivos Fortinet, Palo Alto y Cisco VPN.
El grupo también utiliza herramientas de fuerza bruta dirigida a Microsoft Outlook Access Web y portales RDWEB, lo que permite una implementación rápida al tiempo que omite los sistemas de detección de puntos finales tradicionales.
Esta estrategia permite a los afiliados centrarse en la entrega y extorsión de la carga útil en lugar de la penetración de la red, lo que reduce significativamente el tiempo de compromiso.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
