Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

GRUPPO GLOBALE

  1. Stato:
    Attivo
  1. Stato:
    Attivo

GLOBAL GROUP è una nuova organizzazione di tipo Ransomware-as-a-Service (RaaS) lanciata nel giugno 2025 da un noto autore di attacchi di lingua russa, che offre sistemi di negoziazione basati sull'intelligenza artificiale, pannelli di controllo mobili e incentivi aggressivi per gli affiliati, al fine di espandere rapidamente la propria presenza nei settori industriali di tutto il mondo.

Individuare le TTP di GLOBAL
La tua organizzazione è al sicuro dagli attacchi del ransomware GLOBAL?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di GLOBAL

GLOBAL GROUP è un'azienda emergente piattaforma Ransomware-as-a-Service (RaaS) osservata per la prima volta il 2 giugno 2025, introdotta da un autore di minacce che utilizza lo pseudonimo "$$$" sul forum di criminalità informatica Ramp4u. L'autore ha un passato legato a precedenti varianti di ransomware, tra cui Mamona RIP e Black Lock (precedentemente El Dorado). Gli analisti ritengono, con un grado di certezza medio-alto, che GLOBAL GROUP rappresenti un rebranding di Black Lock, volto a ricostruire la credibilità e ad espandere la propria base di affiliati. L'infrastruttura del gruppo è ospitata tramite provider VPS russi (in particolare IpServer), utilizzati anche dal suo predecessore Mamona RIP.

GLOBAL GROUP promuove un modello di guadagno che offre agli affiliati una quota di profitto fino all'85%, mette a disposizione un pannello di controllo ottimizzato per dispositivi mobili e integra bot di negoziazione basati sull'intelligenza artificiale per gli affiliati che non parlano inglese. malware suo malware multipiattaforma (Windows, ESXi, Linux, BSD) e vanta funzionalità di elusione dei sistemi EDR.

Fonte: EclecticIQ

Richiesta di riscatto del ransomware Global
Richiesta di riscatto del ransomware Global

Paesi interessati da GLOBAL

Le vittime accertate provengono da diversi paesi, con un'attività particolarmente intensa negli Stati Uniti, nel Regno Unito, in Australia e in Brasile. Questa portata globale evidenzia l'intenzione del gruppo di massimizzare il potenziale di riscatto concentrandosi su obiettivi ad alto reddito e dotati di infrastrutture avanzate.

Settori di riferimento di GLOBAL

GLOBAL GROUP si rivolge a un'ampia gamma di settori, con particolare attenzione a quelli sanitario, petrolifero e del gas, dell'ingegneria industriale, dei servizi automobilistici e dell'outsourcing dei processi aziendali. Il gruppo sviluppa versioni personalizzate dei propri ransomware sia per ambienti generici che per infrastrutture virtualizzate come VMware ESXi.

Healthcare

Energy and Utilities

Critical National Infrastructure (CNI)

Vittime accertate di GLOBAL

  • Operatori sanitari negli Stati Uniti e in Australia
  • Produttori di attrezzature per il settore petrolifero e del gas in Texas, Stati Uniti
  • Aziende di ingegneria di precisione e servizi per il settore automobilistico nel Regno Unito
  • Società di gestione delle strutture e di BPO in Brasile

Il gruppo ha mietuto finora 30 vittime, di cui nove nei primi cinque giorni dalla sua comparsa, a dimostrazione della sua rapida diffusione e della sua capacità di espansione.

Numero globale delle vittime di ransomware
Fonte: Ransomware.live

Metodo di attacco

Il metodo di attacco di Global

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Accesso ottenuto tramite Initial Access Brokers (IAB), attacchi di forza bruta a VPN, RDWeb e portali Outlook. Sfrutta le vulnerabilità dei dispositivi Fortinet, Palo Alto e Cisco.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Sfrutta i webshell e le credenziali valide per ottenere l'accesso come utente del dominio o come amministratore locale.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Elude i tradizionali sistemi EDR, utilizza credenziali legittime e distribuisce malware in Golang per garantire la propria invisibilità.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Raccoglie credenziali memorizzate nella cache, esegue attacchi di "password spraying" e utilizza strumenti personalizzati forniti dai partner dell'IAB.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Mappa gli ambienti di dominio, identifica gli host ESXi ed esegue l'enumerazione della rete utilizzando strumenti integrati.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Si muove lateralmente sfruttando SMB, la creazione di servizi dannosi e sessioni shell remote all'interno dell'ambiente.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Esporta i file sensibili, inclusi quelli di natura legale, finanziaria e sanitaria, prima dell'attacco del ransomware.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Esegue il ransomware su endpoint e hypervisor, crittografando le macchine virtuali in parallelo tramite binari basati su Go.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

Utilizza un'infrastruttura basata su Tor e API configurate in modo errato per archiviare e gestire i dati rubati.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Invia richieste di riscatto, minaccia di divulgare pubblicamente i dati su Tor DLS e chiede riscatti a sette cifre, spesso pari o superiori a 1 milione di dollari.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Accesso ottenuto tramite Initial Access Brokers (IAB), attacchi di forza bruta a VPN, RDWeb e portali Outlook. Sfrutta le vulnerabilità dei dispositivi Fortinet, Palo Alto e Cisco.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Sfrutta i webshell e le credenziali valide per ottenere l'accesso come utente del dominio o come amministratore locale.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Elude i tradizionali sistemi EDR, utilizza credenziali legittime e distribuisce malware in Golang per garantire la propria invisibilità.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Raccoglie credenziali memorizzate nella cache, esegue attacchi di "password spraying" e utilizza strumenti personalizzati forniti dai partner dell'IAB.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Mappa gli ambienti di dominio, identifica gli host ESXi ed esegue l'enumerazione della rete utilizzando strumenti integrati.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Si muove lateralmente sfruttando SMB, la creazione di servizi dannosi e sessioni shell remote all'interno dell'ambiente.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Esporta i file sensibili, inclusi quelli di natura legale, finanziaria e sanitaria, prima dell'attacco del ransomware.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Esegue il ransomware su endpoint e hypervisor, crittografando le macchine virtuali in parallelo tramite binari basati su Go.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

Utilizza un'infrastruttura basata su Tor e API configurate in modo errato per archiviare e gestire i dati rubati.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Invia richieste di riscatto, minaccia di divulgare pubblicamente i dati su Tor DLS e chiede riscatti a sette cifre, spesso pari o superiori a 1 milione di dollari.

MITRE ATT&CK

TTP utilizzati da GLOBAL

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
TA0007: Discovery
T1135
Network Share Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare GLOBAL con Vectra AI

Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.

M365 Malware Stage: Upload

Privilege Anomaly: Unusual Host

SQL Injection Activity

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi del ransomware GLOBAL?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti