グローバルグループ RaaS事業
サイバーセキュリティの専門家は、「GLOBAL GROUP」と呼ばれる新たなRansomware-as-a-Service(RaaS)攻撃を発見しました。この攻撃は2025年6月初旬から、オーストラリア、ブラジル、ヨーロッパ、そして米国の組織を積極的に標的としています。この攻撃は、ランサムウェアのエコシステムにおける大きな進化を示すものです。
目次
ブラックロックからグローバルグループへ:リブランディング戦略
この新たな計画の背後には、「$$$」として知られる脅威アクターがおり、このアクターは以前BlackLock RaaSを管理し、Mamonaランサムウェアの運用を指揮していました。GLOBAL GROUPはRamp4uフォーラムで宣伝されており、Eldoradoを起源とするBlackLockのブランド変更であると広く考えられています。
このリブランディングは、2025年3月にブラックロックのデータ漏洩サイトがドラゴンフォース・カルテルによって改ざんされた事件を受けて行われたものです。運営会社はGLOBAL GROUPの導入により、インフラの近代化、アフィリエイトの魅力向上、そして信頼性の回復を目指しました。
攻撃戦術と侵入経路
GLOBAL GROUPは、ネットワーク侵入に初期アクセス・ブローカー(IAB)を活用するという、金銭目的のアプローチを採用しています。これらのブローカーは、企業ネットワークへの侵入前のアクセスを提供することで、関係者が侵入作業ではなくランサムウェアの展開と交渉に集中できるようにします。
主なテクニックは次のとおりです。
- 脆弱なシスコ、フォーティネット、パロアルトのエッジアプライアンスへのアクセスを武器化する
- Microsoft Outlook および RDWeb ポータルをターゲットとしたブルートフォース ユーティリティの使用
- 法律事務所などの標的に対するリモートデスクトッププロトコル(RDP)またはWebシェルアクセスの取得
侵入すると、攻撃者はエクスプロイト後のツールを展開し、横方向の移動を実行し、機密データを盗み出し、ランサムウェアのペイロードを起動します。
RaaSエコシステムの内側
GLOBAL GROUPは、幅広いアフィリエイトパネルと交渉プラットフォームを提供しています。アフィリエイトパネルは、パートナーに以下のメリットをもたらします。
- VMware ESXi、NAS、BSD、Windows 用のランサムウェア ペイロードを構築します。
- 被害者を追跡し、活動を管理します。
- モバイル対応の機能を活用してリアルタイム管理を実現します。
アフィリエイトには85%の収益分配が約束されており、これは魅力的な勧誘インセンティブとなります。AI駆動型チャットボットを搭載した交渉ポータルは多言語でのやり取りを可能にし、英語を母国語としないアフィリエイトでも被害者と効果的にやり取りすることを容易にします。
被害者のプロフィールと世界的な影響
2025年7月14日現在、GLOBAL GROUPは、以下を含む多様な分野で17名の被害者を主張しています。
- 健康管理
- 石油・ガス機器製造
- 産業機械と精密工学
- 自動車修理および事故復旧サービス
- ビジネスプロセスアウトソーシング(BPO)
技術DNAと進化
分析の結果、GLOBAL GROUPとMamonaのコードの類似性に加え、同じロシアのVPSプロバイダー(IpServer)を使用していることが明らかになりました。Go言語で書かれたこのランサムウェアは、ドメイン全体へのインストール機能を備えており、以前のバージョンとは一線を画しています。この技術革新は、アフィリエイトエンゲージメントの拡大と運用のレジリエンス強化に向けた戦略的動きを浮き彫りにしています。
グローバルグループがリスクの増大を指摘する理由
GLOBAL GROUPの立ち上げは、ランサムウェア攻撃者がAIを活用した交渉、カスタマイズ可能なペイロードビルダー、そして高度なアフィリエイトインセンティブを組み込むなど、意図的に革新を進めていることを示唆しています。この近代化は、ランサムウェア業界における軍拡競争の激化を示唆しており、世界的なサイバーセキュリティ対策に重大な脅威をもたらしています。
