RaaS-Betrieb der GLOBAL GROUP
Cybersicherheitsexperten haben eine neue Ransomware-as-a-Service (RaaS)-Kampagne namens GLOBAL GROUP aufgedeckt. Seit Anfang Juni 2025 zielt diese Kampagne aktiv auf Organisationen in Australien, Brasilien, Europa und den USA ab. Diese Kampagne markiert eine bedeutende Entwicklung im Ransomware-Ökosystem.
Inhaltsverzeichnis
Von BlackLock zu GLOBAL GROUP: Eine Rebranding-Strategie
Hinter diesem neuen Schema steckt der Bedrohungsakteur „$$$“, der zuvor das BlackLock RaaS kontrollierte und die Mamona-Ransomware-Operation leitete. GLOBAL GROUP wurde im Ramp4u-Forum beworben und gilt allgemein als Rebranding von BlackLock, das wiederum aus Eldorado stammt.
Die Umbenennung erfolgte nach einem Vorfall im März 2025, als die Datenleck-Website von BlackLock vom DragonForce-Kartell beschädigt wurde. Mit der Einführung von GLOBAL GROUP wollten die Betreiber ihre Infrastruktur modernisieren, die Attraktivität der Partner erhöhen und ihre Glaubwürdigkeit wiederherstellen.
Angriffstaktiken und Eintrittsvektoren
GLOBAL GROUP verfolgt einen finanziell motivierten Ansatz und nutzt Initial Access Brokers (IABs) zur Netzwerkinfiltration. Diese Broker bieten vorkompromittierten Zugriff auf Unternehmensnetzwerke, sodass sich die Partner auf die Bereitstellung und Verhandlung von Ransomware konzentrieren können, anstatt sich mit Penetrationsversuchen zu befassen.
Zu den wichtigsten Techniken gehören:
- Zugriff auf anfällige Edge-Geräte von Cisco, Fortinet und Palo Alto als Waffe nutzen
- Einsatz von Brute-Force-Programmen für Microsoft Outlook und RDWeb-Portale
- Erwerb von Remote Desktop Protocol (RDP) oder Web-Shell-Zugriff für Anwaltskanzleien und ähnliche Ziele
Sobald die Angreifer im System sind, setzen sie Post-Exploitation-Tools ein, führen laterale Bewegungen aus, exfiltrieren vertrauliche Daten und starten Ransomware-Payloads.
Innerhalb des RaaS-Ökosystems
GLOBAL GROUP bietet ein umfangreiches Partnerpanel und eine Verhandlungsplattform. Das Partnerpanel ermöglicht Partnern:
- Erstellen Sie Ransomware-Payloads für VMware ESXi, NAS, BSD und Windows.
- Verfolgen Sie Opfer und verwalten Sie Einsätze.
- Nutzen Sie mobilfreundliche Funktionen für die Echtzeitverwaltung.
Den Partnern wird eine Umsatzbeteiligung von 85 % versprochen – ein attraktiver Anreiz für die Anwerbung. Das Verhandlungsportal, das von KI-gesteuerten Chatbots unterstützt wird, ermöglicht mehrsprachige Interaktion und erleichtert so nicht englischsprachigen Partnern die effektive Kommunikation mit Opfern.
Opferprofil und globale Auswirkungen
Bis zum 14. Juli 2025 hatte GLOBAL GROUP 17 Opfer in verschiedenen Sektoren zu beklagen, darunter:
- Gesundheitspflege
- Herstellung von Öl- und Gasausrüstung
- Industriemaschinen und Feinwerktechnik
- Autoreparatur- und Unfallbergungsdienste
- Outsourcing von Geschäftsprozessen (BPO)
Technische DNA und Evolution
Die Analyse zeigt Code-Ähnlichkeiten zwischen GLOBAL GROUP und Mamona sowie die Nutzung desselben russischen VPS-Anbieters (IpServer). Die in Go geschriebene Ransomware bietet domänenweite Installationsmöglichkeiten und unterscheidet sich damit von früheren Versionen. Dieser technologische Wandel unterstreicht einen strategischen Schritt zur Ausweitung des Affiliate-Engagements und zur Steigerung der operativen Belastbarkeit.
Warum GLOBAL GROUP zunehmende Risiken aufzeigt
Die Einführung von GLOBAL GROUP verdeutlicht den gezielten Innovationsschub der Ransomware-Betreiber. Dazu gehören KI-gestützte Verhandlungen, anpassbare Payload-Builder und erweiterte Affiliate-Incentives. Diese Modernisierung signalisiert ein eskalierendes Wettrüsten im Ransomware-Bereich und stellt eine erhebliche Bedrohung für die globale Cybersicherheit dar.
