Эксперты по кибербезопасности фиксируют запуск новой схемы вымогательства как услуги — GLOBAL GROUP, появившейся в начале июня 2025 года. Эта группировка уже успела провести атаки в различных отраслях Австралии, Бразилии, Европы и США.
GLOBAL GROUP
По данным исследователя EclecticIQ Арды Бюйюккая, новости о GLOBAL GROUP впервые появились на хакерском форуме Ramp4u от пользователя под ником '$$$'. Этот злоумышленник также стоял за платформами BlackLock и Mamona.
Согласно аналитикам, GLOBAL GROUP — это новая инкарнация BlackLock после того, как весной этого года сайт BlackLock был взломан и выведен из строя группой DragonForce. До этого BlackLock был модернизированной версией схемы Eldorado.
Вся деятельность GLOBAL GROUP строится на финансовой выгоде. Хакеры активно сотрудничают с посредниками, которые торгуют доступом к уязвимым устройствам Cisco, Fortinet и Palo Alto Networks. В ход идут также инструменты для перебора паролей к Microsoft Outlook и RDWeb-порталам.
Получив ключи от корпоративных сетей (например, юридических фирм) с помощью покупки Remote Desktop Protocol (RDP) или web shell, злоумышленники внедряют свои инструменты, перемещаются по внутренней инфраструктуре, крадут данные и запускают вредоносные программы.
После передачи этапа проникновения местным участникам члены GLOBAL GROUP освобождают себе время для шантажа, запуска вредоноса и ведения переговоров с жертвами, не тратя ресурсы на самостоятельный доступ к сетям.
Платформа GLOBAL GROUP предлагает уникальные переговорные порталы и отдельный кабинет для «партнёров», через которые преступники управляют атаками, создают шифровальщики под разные системы (VMware ESXi, NAS, BSD, Windows) и отслеживают ход кампаний. Организаторы заманивают новых «афилиатов», обещая им щедрые 85% выплаченного выкупа.
«В панели переговоров GLOBAL GROUP работают чат-боты с искусственным интеллектом», — отмечают специалисты одной из европейских компаний по кибербезопасности. — «Это позволяет даже тем, кто не владеет английским, говорить с жертвами на уровне профессионалов».
К середине июля 2025 года GLOBAL GROUP атаковали уже 17 организаций в Австралии, Бразилии, Европе и США. Под удар попали сферы здравоохранения, нефтегазовое оборудование, машиностроение и точная инженерия, автосервисы, эвакуаторы и крупные аутсорсинговые компании (BPO).
Родство GLOBAL GROUP с BlackLock и Mamona выдают выбор VPS-провайдера IpServer и значительное совпадение исходного кода. Новый вредонос — развитие Mamona, теперь его достаточно для установки шифровальщика на всю внутреннюю сеть домена. Как BlackLock, GLOBAL GROUP написан на Go.
По словам Бюйюккая, запуск GLOBAL GROUP — это не случайность, а продуманная тактика: выйти на новый уровень, обеспечить рост прибылей и устоять в конкурентной гонке вымогателей. Новый «бренд» подразумевает ИИ-инструменты для переговоров, мобильную версию панели управления и гибкие инструменты для создания кастомизированных вредоносов, что делает проект привлекательным для самой широкой аудитории «партнёров».
Яркое появление GLOBAL GROUP совпало с взлётом Qilin — именно эта группа возглавила рейтинг вымогателей в июне 2025 года, атаковав 81 жертву. Далее идут Akira (34 атаки), Play (30), SafePay (27) и DragonForce (25).
«SafePay снизили активность на рекордные 62,5% — похоже, однозначно уходят с рынка», — делятся аналитики CYFIRMA. — «А вот DragonForce, наоборот, набрали обороты, увеличив количество атак более чем вдвое — на 212,5%».
В целом число пострадавших компаний в июне снизилось на 15%: с 545 в мае до 463 в июне 2025 года. Самым тяжёлым месяцем остаётся февраль, когда под ударом оказалось 956 компаний.
Однако, несмотря на общее уменьшение числа атак, растущая политическая нестабильность и новые масштабные кибератаки заставляют экспертов из NCC Group говорить о том, что риски только увеличиваются.
По подсчётам специалистов глобального центра угроз Optiv (gTIC), в первом квартале 2025 года информация о 314 жертвах вымогателей появилась на 74 сайтах с утечками — это в 3 раза больше, чем за аналогичный прошлогодний период. Для сравнения, весной 2024 года фиксировали всего 56 видов вредоносов.
«Злоумышленники по-прежнему используют проверенные ходы: фишинг, уязвимости в ПО, взлом слабо защищённых приложений, атаки на цепочки поставок и закупку уже взломанных входов в корпоративные сети через посредников», — подытожила аналитик Optiv Эмили Ли.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru