Pesquisadores de cibersegurança revelaram detalhes sobre uma nova operação de ransomware-as-a-service (RaaS) chamada GLOBAL GROUP, que tem como alvo uma ampla gama de setores na Austrália, Brasil, Europa e Estados Unidos desde seu surgimento no início de junho de 2025.
GLOBAL GROUP foi "promovido no fórum Ramp4u pelo ator de ameaças conhecido como '$$$'", disse o pesquisador da EclecticIQ, Arda Büyükkaya.
O mesmo ator controla o BlackLock RaaS e anteriormente gerenciava as operações do ransomware Mamona.
Acredita-se que o GLOBAL GROUP seja um rebranding do BlackLock após o site de vazamento de dados deste último ter sido desfigurado pelo cartel de ransomware DragonForce em março.
Vale ressaltar que o BlackLock, por sua vez, é um rebranding de outro esquema de RaaS conhecido como Eldorado.
O grupo, motivado financeiramente, tem se apoiado fortemente nos intermediários de acesso inicial (IABs) para implantar o ransomware, ao weaponizar o acesso a edge appliances vulneráveis de Cisco, Fortinet e Palo Alto Networks.
Ferramentas de brute-force para Microsoft Outlook e portais RDWeb também são utilizadas.
$$$ adquiriu acesso ao Protocolo de Área de Trabalho Remota (RDP) ou web shell às redes corporativas, como as relacionadas a escritórios de advocacia, como uma maneira de implantar ferramentas de pós-exploração, realizar movimentos laterais, sifonar dados e implantar o ransomware.
Terceirizar a fase de infiltração para outros atores de ameaças, que fornecem pontos de entrada pré-comprometidos nas redes empresariais, permite que os afiliados concentrem seus esforços na entrega do payload, extorsão e negociação, em vez de penetração na rede.
A plataforma RaaS vem com um portal de negociação e um painel de afiliados, este último permitindo que cibercriminosos gerenciem vítimas, construam payloads de ransomware para VMware ESXi, NAS, BSD e Windows, e monitoram operações.
Em uma tentativa de atrair mais afiliados, os atores de ameaça prometem um modelo de compartilhamento de receita de 85%.
"O painel de negociação de resgate do GLOBAL GROUP apresenta um sistema automatizado alimentado por chatbots baseados em IA", disse a empresa de segurança holandesa.
Isso permite que afiliados que não falam inglês se envolvam mais efetivamente com as vítimas.
Até 14 de julho de 2025, o grupo RaaS reivindicou 17 vítimas na Austrália, Brasil, Europa e Estados Unidos, abrangendo saúde, fabricação de equipamentos de óleo e gás, maquinário industrial e engenharia de precisão, reparo automotivo, serviços de recuperação de acidentes e terceirização de processo de negócios em larga escala (BPO).
As ligações com BlackLock e Mamona decorrem do uso do mesmo fornecedor de VPS russo IpServer e semelhanças no código-fonte com Mamona.
Especificamente, diz-se que o GLOBAL GROUP é uma evolução do Mamona com recursos adicionados para habilitar a instalação de ransomware em todo o domínio.
Além disso, o malware também é escrito em Go, assim como o BlackLock.
"A criação do GLOBAL GROUP pelo administrador do BlackLock é uma estratégia deliberada para modernizar operações, expandir fluxos de receita e permanecer competitivo no mercado de ransomware", disse Büyükkaya.
Essa nova marca integra negociação alimentada por IA, painéis mobile-friendly e construtores de payload personalizáveis, atraindo um pool mais amplo de afiliados.
A divulgação ocorre enquanto o grupo de ransomware Qilin emergiu como a operação de RaaS mais ativa em junho de 2025, contabilizando 81 vítimas.
Outros grandes players incluem Akira (34), Play (30), SafePay (27) e DragonForce (25).
"O SafePay viu o declínio mais acentuado, em 62,5%, sugerindo uma grande retração", disse a empresa de cibersegurança CYFIRMA.
O DragonForce emergiu rapidamente, com ataques disparando em 212,5%.
No total, o número de vítimas de ransomware caiu de 545 em maio para 463 em junho de 2025, um declínio de 15%.
Fevereiro lidera a lista deste ano com 956 vítimas.
"Apesar do declínio nos números, as tensões geopolíticas e ataques cibernéticos de alto perfil destacam uma crescente instabilidade, potencialmente aumentando o risco de ameaças cibernéticas", observou o Grupo NCC no final do mês passado.
De acordo com dados coletados pelo Centro Global de Inteligência de Ameaças (gTIC) da Optiv, 314 vítimas de ransomware foram listadas em 74 sites únicos de vazamento de dados no 1º trimestre de 2025, representando um aumento de 213% no número de vítimas.
Um total de 56 variantes foram observadas no 1º trimestre de 2024.
"Os operadores de ransomware continuaram a usar métodos já comprovados para obter acesso inicial às vítimas – engenharia social/phishing, exploração de vulnerabilidades de software, comprometimento de software exposto e inseguro, ataques à cadeia de suprimentos e aproveitando a comunidade de intermediários de acesso inicial (IAB)", disse a pesquisadora da Optiv, Emily Lee.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...