GRUPPO GLOBALE
GLOBAL GROUP è un'operazione di Ransomware-as-a-Service (RaaS) emersa di recente e lanciata nel giugno 2025 da un noto attore di minacce di lingua russa, che offre negoziazione guidata dall'intelligenza artificiale, pannelli di controllo mobili e incentivi aggressivi agli affiliati per espandere rapidamente la propria portata nei settori globali.
L'origine di GLOBAL
GLOBAL GROUP è una piattaforma emergente di Ransomware-as-a-Service (RaaS) osservata per la prima volta il 2 giugno 2025, introdotta da un attore di minacce che utilizza l'alias"$$$" sul forum di criminalità informatica Ramp4u. L'attore ha un passato con precedenti ceppi di ransomware, tra cui Mamona RIP e Black Lock (ex El Dorado). Gli analisti valutano con fiducia medio-alta che GLOBAL GROUP rappresenti un rebranding di Black Lock, volto a ricostruire la credibilità e ad espandere la sua base di affiliati. L'infrastruttura del gruppo è ospitata da fornitori di VPS russi (in particolare IpServer), utilizzati anche dal suo predecessore Mamona RIP.
GLOBAL GROUP promuove un modello di guadagno che offre una quota di profitto fino all'85% agli affiliati, fornisce un pannello di affiliazione mobile-friendly e integra bot di negoziazione con intelligenza artificiale per gli affiliati che non parlano inglese. Il suo malware è multipiattaforma (Windows, ESXi, Linux, BSD) e vanta funzioni di elusione dell'EDR.
Fonte: EcletticaIQ
Paesi colpiti da GLOBAL
Le vittime confermate si estendono a diversi Paesi, con attività di rilievo negli Stati Uniti, nel Regno Unito, in Australia e in Brasile. Questa focalizzazione globale evidenzia l'intenzione del gruppo di massimizzare il potenziale di riscatto concentrandosi su obiettivi ad alto reddito e ricchi di infrastrutture.
Industrie interessate da GLOBAL
GLOBAL GROUP si rivolge a un'ampia gamma di settori, con una forte enfasi su sanità, petrolio e gas, ingegneria industriale, servizi automobilistici e outsourcing dei processi aziendali. Il gruppo personalizza le sue build di ransomware sia per ambienti generici che per infrastrutture virtualizzate come VMware ESXi.
Vittime conosciute della GLOBAL
- Fornitori di servizi sanitari negli Stati Uniti e in Australia
- Produttori di attrezzature per petrolio e gas in Texas, USA
- Aziende di ingegneria di precisione e servizi automobilistici nel Regno Unito
- Società di gestione delle strutture e BPO in Brasile
Il gruppo ha mietuto finora 30 vittime, di cui nove nei cinque giorni successivi al suo debutto, il che indica una rapida diffusione e scalabilità.
Metodo di attacco globale
Accesso acquistato da IAB (Initial Access Brokers), VPN forzate , RDWeb e portali Outlook. Sfrutta i dispositivi Fortinet, Palo Alto e Cisco.
Sfrutta webshell e credenziali valide per ottenere l'accesso come utente di dominio o amministratore locale.
Bypassa l'EDR tradizionale, utilizza credenziali legittime e distribuisce il malware compilato in Golang per essere più furtivo.
Raccoglie le credenziali nella cache, effettua lo spraying delle password e utilizza strumenti personalizzati forniti dai partner IAB.
Mappa gli ambienti di dominio, identifica gli host ESXi ed esegue l'enumerazione della rete utilizzando gli strumenti integrati.
Si sposta lateralmente utilizzando SMB, creazione di servizi dannosi e sessioni di shell remote nell'ambiente.
Esfiltra i file sensibili, compresi i dati legali, finanziari e sanitari, prima della distribuzione del ransomware.
Esegue il ransomware su endpoint e hypervisor, crittografando le macchine virtuali in parallelo utilizzando binari basati su Go.
Utilizza un 'infrastruttura basata su Tor e API mal configurate per archiviare e gestire i dati rubati.
Consegna note di riscatto, minaccia fughe di notizie pubbliche su Tor DLS e chiede pagamenti a sette cifre, spesso 1 milione di dollari o più.
Accesso acquistato da IAB (Initial Access Brokers), VPN forzate , RDWeb e portali Outlook. Sfrutta i dispositivi Fortinet, Palo Alto e Cisco.
Sfrutta webshell e credenziali valide per ottenere l'accesso come utente di dominio o amministratore locale.
Bypassa l'EDR tradizionale, utilizza credenziali legittime e distribuisce il malware compilato in Golang per essere più furtivo.
Raccoglie le credenziali nella cache, effettua lo spraying delle password e utilizza strumenti personalizzati forniti dai partner IAB.
Mappa gli ambienti di dominio, identifica gli host ESXi ed esegue l'enumerazione della rete utilizzando gli strumenti integrati.
Si sposta lateralmente utilizzando SMB, creazione di servizi dannosi e sessioni di shell remote nell'ambiente.
Esfiltra i file sensibili, compresi i dati legali, finanziari e sanitari, prima della distribuzione del ransomware.
Esegue il ransomware su endpoint e hypervisor, crittografando le macchine virtuali in parallelo utilizzando binari basati su Go.
Utilizza un 'infrastruttura basata su Tor e API mal configurate per archiviare e gestire i dati rubati.
Consegna note di riscatto, minaccia fughe di notizie pubbliche su Tor DLS e chiede pagamenti a sette cifre, spesso 1 milione di dollari o più.
TTP utilizzati da GLOBAL
Come rilevare GLOBAL con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.