Operación RaaS del GRUPO GLOBAL
Expertos en ciberseguridad han descubierto una nueva operación de ransomware como servicio (RaaS) llamada GLOBAL GROUP. Desde principios de junio de 2025, esta campaña ha estado atacando activamente a organizaciones en Australia, Brasil, Europa y Estados Unidos. Esta campaña marca una evolución significativa en el ecosistema del ransomware.
Tabla de contenido
De BlackLock a GLOBAL GROUP: Una estrategia de renovación de marca
El actor de amenazas conocido como '$$$', quien anteriormente controlaba el RaaS de BlackLock y gestionaba la operación del ransomware Mamona, está detrás de este nuevo esquema. GLOBAL GROUP se promocionó en el foro Ramp4u y se considera ampliamente una nueva marca de BlackLock, que a su vez se originó a partir de Eldorado.
El cambio de marca se produjo tras un incidente ocurrido en marzo de 2025, cuando el sitio web de BlackLock, que había filtrado datos, fue atacado por el cártel DragonForce. Con la introducción de GLOBAL GROUP, los operadores buscaban modernizar su infraestructura, mejorar el atractivo de sus afiliados y restaurar su credibilidad.
Tácticas de ataque y vectores de entrada
GLOBAL GROUP adopta un enfoque con fines financieros al utilizar intermediarios de acceso inicial (IAB) para la infiltración en la red. Estos intermediarios proporcionan acceso precomprometido a las redes corporativas, lo que permite a sus afiliados centrarse en la implementación y negociación de ransomware en lugar de en los esfuerzos de penetración.
Las técnicas clave incluyen:
- Armar el acceso a dispositivos perimetrales vulnerables de Cisco, Fortinet y Palo Alto
- Uso de utilidades de fuerza bruta dirigidas a los portales Microsoft Outlook y RDWeb
- Adquisición de acceso al Protocolo de Escritorio Remoto (RDP) o shell web para bufetes de abogados y objetivos similares
Una vez dentro, los atacantes implementan herramientas de postexplotación, realizan movimientos laterales, extraen datos confidenciales y lanzan cargas útiles de ransomware.
Dentro del ecosistema RaaS
GLOBAL GROUP ofrece un amplio panel de afiliados y una plataforma de negociación. El panel de afiliados permite a los socios:
- Cree cargas útiles de ransomware para VMware ESXi, NAS, BSD y Windows.
- Realizar un seguimiento de las víctimas y gestionar las operaciones.
- Utilice funciones optimizadas para dispositivos móviles para una gestión en tiempo real.
A los afiliados se les promete una participación del 85% en los ingresos, un incentivo atractivo para la captación. El portal de negociación, impulsado por chatbots con IA, permite la interacción multilingüe, lo que facilita que los afiliados que no hablan inglés interactúen eficazmente con las víctimas.
Perfil de la víctima e impacto global
Al 14 de julio de 2025, GLOBAL GROUP ha cobrado 17 víctimas en diversos sectores, entre ellos:
- Cuidado de la salud
- Fabricación de equipos para petróleo y gas
- Maquinaria industrial e ingeniería de precisión
- Servicios de reparación de automóviles y recuperación de accidentes
- Subcontratación de procesos de negocio (BPO)
ADN Técnico y Evolución
El análisis revela similitudes de código entre GLOBAL GROUP y Mamona, así como el uso del mismo proveedor ruso de VPS (IpServer). El ransomware, escrito en Go, ofrece la posibilidad de instalarse en todo el dominio, lo que lo distingue de las versiones anteriores. Este cambio tecnológico subraya una estrategia para ampliar la interacción de los afiliados y mejorar la resiliencia operativa.
Por qué GLOBAL GROUP muestra riesgos crecientes
El lanzamiento de GLOBAL GROUP ilustra el esfuerzo deliberado de los operadores de ransomware por innovar, incorporando negociaciones basadas en IA, generadores de cargas útiles personalizables e incentivos avanzados para afiliados. Esta modernización indica una creciente competencia en el panorama del ransomware, lo que representa una amenaza significativa para las defensas de ciberseguridad global.
