Los investigadores de ciberseguridad han arrojado luz sobre una nueva operación de ransomware (RAAS), llamado un grupo global que se dirige a una amplia gama de sectores en Australia, Brasil, Europa y Estados Unidos desde su aparición a principios de junio de 2025.
Global Group ha sido promovido en el Foro RAMP4U por un actor de amenaza conocido como «$$$», dijo Arda Büyükkaya, investigadora de Eclecticiq. «El mismo actor controla BlackRock Raas y controla las operaciones de ransomware Mamona administradas previamente».
Se cree que Global Group es un cambio de marca de BlackRock después de que este último sitio de fuga de datos fue contaminado por el cartel de ransomware de la Fuerza Dragón en marzo. Vale la pena mencionar que BlackRock en sí es una marca de otro esquema RAAS conocido como El Dorado.
Se ha encontrado que el grupo con motivación financiera se inclina fuertemente hacia el primer corredor de acceso (IAB) para implementar el ransomware armando el acceso a los electrodomésticos vulnerables de las redes de Cisco, Fortinet y Palo Alto. También utiliza Utilidades Brute Force para Microsoft Outlook y el Portal RDWEB.
$$$ obtuvo el protocolo de escritorio remoto (RDP) o el acceso al shell web a las redes corporativas, como las redes corporativas asociadas con las firmas de abogados como una forma de implementar herramientas postexpuestas, implementar movimientos laterales, implementar datos de sifón e implementar ransomware.
La subcontratación de la etapa de intrusión a otros actores de amenaza proporciona puntos de entrada precompetitivos a la red empresarial, lo que les permite gastar más esfuerzo en la entrega de carga útil, el miedo y la negociación, en lugar de la penetración de la red.
La plataforma RAAS viene con un portal de negociación y un panel de afiliados. Este último permite que los ciberdelincuentes administren a sus víctimas, construyan cargas útiles de ransomware para VMware ESXI, NAS, BSD y Windows, y monitorear las operaciones. Para seducir más afiliados, los actores de amenazas prometen un modelo de intercambio de ingresos del 85%.
«El panel de negociación Ransom del Grupo Global presenta un sistema automatizado con un chatbot impulsado por IA», dijo la compañía de seguridad holandesa. «Esto permitirá que los no afiliados que hablen inglés involucren a las víctimas de manera más efectiva».
A partir del 14 de julio de 2025, el Grupo RAAS reclamó 17 bajas en Australia, Brasil, Europa y Estados Unidos, que abarca la fabricación de equipos de atención médica y gas, maquinaria industrial e ingeniería de precisión, reparación de automóviles, servicios de recuperación de accidentes y procesos comerciales a gran escala (BPO).
El enlace a BlackRock y Mamona se atribuye a la similitud del código fuente con Mamona utilizando el mismo proveedor de VPS ruso iPserver. Específicamente, se dice que Global Group es una evolución de Mamona, con la capacidad de habilitar la instalación de ransomware en todos los dominios. Además, el malware está escrito en GO, como BlackRock.
«Crear un grupo global con administradores de BlackRock es una estrategia deliberada para modernizar el negocio, expandir los flujos de ingresos y mantenerse competitivo en el mercado de ransomware», dijo Büyükkaya. «Esta nueva marca integra negociaciones con IA, paneles móviles y constructores de carga útil personalizables, lo que lo hace atractivo para un marketing de afiliación más amplio».
Esta divulgación se produce cuando el Grupo de Ransomware Qilin apareció en junio de 2025 como la operación RAAS más activa, que representa 81 víctimas. Otros jugadores principales incluyen Akira (34), Play (30), Safepi (27) y Dragon Force (25).
«Safepay vio la disminución más fuerte del 62.5%, lo que sugiere un gran inconveniente», dijo Cyfirma, una compañía de ciberseguridad. «La fuerza del dragón apareció rápidamente y los ataques aumentaron en un 212.5%».
En general, el número total de víctimas de ransomware cayó un 15%, por debajo de 545 en mayo a 463 en junio de 2025. Febrero es la parte superior de la lista de este año con 956 bajas.
«A pesar de la disminución en el número, las tensiones geopolíticas y los ataques cibernéticos de alto perfil podrían subrayar una mayor inestabilidad y aumentar el riesgo de amenazas cibernéticas», dijo el grupo NCC más tarde el mes pasado.
Los datos recopilados por el Centro Global de Inteligencia de Amenazas (GTIC) de Optiv muestran que 314 víctimas de ransomware fueron enumeradas en 74 sitios de fuga de datos únicos en el primer trimestre de 2025, lo que representa un aumento del 213% en el número de víctimas. Se observaron un total de 56 variantes en el primer trimestre de 2024.
“Los operadores de ransomware han continuado utilizando métodos probados para obtener acceso temprano a las víctimas, incluida la ingeniería social/phishing, la explotación de vulnerabilidades de software, compromiso de software no expuesto y seguro, ataques de la cadena de suministro y aprovechando a la comunidad de corredores de acceso temprano (IAB).
Source link
