Il gruppo di ransomware che si fa chiamare GLOBAL ha pubblicato un video promozionale che sembra più il lancio di un prodotto SaaS che una minaccia criminale. Con promesse di assistenza 24/7, aggiornamenti settimanali e gestione mobile, il video mostra come il ransomware-as-a-service (RaaS) sia maturato in un modello di business professionalizzato e in stile franchising.
Dietro il marchio elegante, la serie di funzionalità di GLOBAL ci dice molto su come operano gli affiliati e sul motivo per cui le difese tradizionali sono spesso insufficienti. Ogni funzionalità è stata accuratamente progettata per accelerare l'impatto, ridurre il rilevamento e massimizzare il pagamento del riscatto.
Portata e scala aziendale
Costruzioni multipiattaforma: Colpire l'impresa dove fa male
Le aziende non gestiscono solo i laptop Windows. Dipendono dai server Linux per le applicazioni, dagli hypervisor VMware ESXi per la virtualizzazione e dai dispositivi NAS/BSD per lo storage. Queste piattaforme sono fondamentali per la resilienza, ma sono anche obiettivi interessanti per il ransomware.
Il costruttore di GLOBAL consente agli affiliati di creare pacchetti ransomware per tutti loro in pochi minuti. In questo modo, backup, storage e macchine virtuali sono vulnerabili quanto i desktop. Il loro obiettivo è semplice: eliminare ogni via di recupero. Per i team SOC che si affidano ai soli strumenti endpoint , la visibilità sui sistemi ESXi o NAS è quasi inesistente, lasciando esposte intere infrastrutture.
Propagazione con un solo clic: La velocità come arma
Un singolo endpoint infetto non garantisce la possibilità di ottenere un riscatto. Per costringere un'azienda a pagare, gli aggressori hanno bisogno di scala e velocità.
La propagazione con un solo clic di GLOBAL automatizza il movimento laterale, spingendo il ransomware attraverso una rete in pochi minuti. Gli affiliati non hanno bisogno di competenze tecniche approfondite; la piattaforma gestisce la diffusione utilizzando credenziali rubate e unità condivise. Quando i difensori individuano un'attività insolita su un host, decine di altri potrebbero essere già criptati. Le difese tradizionali, come l'EDR o i firewall, raramente segnalano questo tipo di traffico interno con credenziali, consentendo agli aggressori di eludere le squadre di risposta.
Modalità di montaggio: Crittografia oltre l'Endpoint
I dati aziendali critici si trovano spesso su unità di rete condivise montate sui computer degli utenti. Queste unità in genere non sono protette dagli endpoint , il che le rende bersagli privilegiati del ransomware.
La modalità di montaggio di GLOBAL sfrutta questo aspetto crittografando i dischi remoti dall'endpoint infetto. Nessun binario tocca il NAS o il file server. Per gli aggressori, ciò significa un'ampia copertura senza rischi aggiuntivi. Per i difensori, significa che gli EDR non vedono mai il codice dannoso su questi sistemi di archiviazione, i backup vengono crittografati insieme ai dati primari e i SOC non hanno visibilità sull'attacco fino a quando non è troppo tardi.
Toolkit di distruzione ed evasione
Binari autocancellati: Cancellare le prove
Una volta eseguito, GLOBAL può cancellare il proprio binario, senza lasciare alcun file da analizzare per i difensori. Questo nega ai team SOC prove forensi critiche e fa guadagnare tempo agli affiliati per riutilizzare lo stesso payload altrove. Gli antivirus tradizionali, che si basano sulle firme, sono ciechi una volta che il campione è sparito.
Eliminazione dei registri eventi: Accecare i difensori
Cancellando i registri eventi di Windows, GLOBAL elimina la traccia di audit del movimento laterale, dell'escalation dei privilegi o dell'esecuzione dei processi. Gli investigatori si ritrovano con file criptati e nessuna traccia di come si è svolto l'attacco. Le piattaforme SIEM che dipendono dai registri diventano inefficaci quando questi spariscono alla fonte.
Uccidere servizi e processi: Liberare il percorso per la crittografia
GLOBAL può terminare i database, i backup e gli agenti di sicurezza endpoint prima della crittografia. Questo garantisce una crittografia più fluida, nega le opzioni di ripristino e mette a tacere le difese. Mentre gli EDR possono segnalare le uccisioni di massa dei processi, gli aggressori le mascherano come attività IT di routine, confondendosi con il normale rumore amministrativo.
Crittografare i nomi dei file e le icone: Marchio di fabbrica dell'attacco
GLOBAL consente agli affiliati di personalizzare i file crittografati con estensioni come .GLOBAL e icone con il marchio del riscatto. Non si tratta solo di una questione tecnica, ma anche psicologica. I dipendenti che aprono le cartelle non vedono altro che file rinominati e marchiati, rafforzando il panico e la pressione. Gli antivirus ignorano le modifiche estetiche e molti strumenti SOC non sono in grado di rilevare le alterazioni dei metadati in massa.
Modalità Panico: Un interruttore per il controllo
GLOBAL include una "modalità di panico" per arrestare istantaneamente l'esecuzione. Questo protegge gli affiliati se colpiscono una sandbox, se incontrano difese rigide o se sbagliano a colpire un bersaglio. Il ransomware scompare a metà dell'operazione, lasciando al massimo tracce parziali. Raramente i sistemi AV e EDR riescono a intercettare un attacco che si arresta prima che si crei la telemetria.
Estorsione e tattiche di pressione
Negoziazione alimentata dall'intelligenza artificiale: Automatizzare la conversazione sul riscatto
La negoziazione dei pagamenti dei riscatti richiede molto lavoro. GLOBAL risolve questo problema con un supporto AI che guida le conversazioni, adatta le richieste e massimizza i pagamenti. Gli affiliati possono gestire più campagne senza doversi destreggiare tra le chat. Le vittime non stanno parlando con un umano, ma stanno contrattando con un'automazione ottimizzata per l'effetto leva. Nessuno strumento tradizionale può interrompere questa dinamica.
Blog e app mobile: Estorsione a portata di mano
Gli affiliati GLOBAL controllano il proprio blog di estorsione e possono gestire le fughe tramite un'applicazione mobile. Possono caricare i dati rubati, avviare conti alla rovescia e intensificare le campagne di pressione all'istante. La doppia estorsione diventa portatile, sempre attiva e indipendente dagli operatori centrali. Le difese tradizionali non offrono alcuna prevenzione, ma solo il monitoraggio delle informazioni sulle minacce dopo che le fughe di notizie sono state rese pubbliche.
Conclusioni: I difensori devono essere Match industrializzazione del ransomware
GLOBAL illustra una verità più ampia: il ransomware si è evoluto in un modello di servizio industrializzato. Gli affiliati sono dotati di automazione, strumenti distruttivi e assistenza professionale, mentre le difese tradizionali faticano a tenere il passo.
Per i difensori, affidarsi solo a EDR, SIEM o backup non è più sufficiente. Questi strumenti sono importanti, ma le funzionalità di GLOBAL sono esplicitamente progettate per aggirarli. Per fermare il ransomware prima che la crittografia e l'estorsione abbiano inizio, i team SOC hanno bisogno di una visibilità che abbracci identità, rete, cloud ed endpoint, unita a un'intelligence in grado di rilevare i comportamenti degli aggressori in tempo reale.
È qui che entra in gioco la piattaformaVectra AI . Rilevando comportamenti come il movimento laterale, l'uso improprio delle credenziali e l'attività di crittografia anomala, Vectra AI aiuta i team SOC a individuare attacchi come GLOBAL prima che appaia la richiesta di riscatto. È il livello mancante che colma le lacune di rilevamento e risposta lasciate dagli strumenti tradizionali.
- Leggete come Vectra AI può aiutare il vostro team a bloccare il ransomware sul nascere.
- Guardate la demo autoguidata della piattaforma Vectra AI .