Opération RaaS du GROUPE MONDIAL
Des experts en cybersécurité ont découvert une nouvelle opération de rançongiciel en tant que service (RaaS) appelée GLOBAL GROUP. Depuis début juin 2025, cette campagne cible activement des organisations en Australie, au Brésil, en Europe et aux États-Unis. Elle marque une évolution significative dans l'écosystème des rançongiciels.
Table des matières
De BlackLock à GLOBAL GROUP : une stratégie de rebranding
L'acteur malveillant connu sous le nom de « $$$ », qui contrôlait auparavant le RaaS BlackLock et gérait l'opération de rançongiciel Mamona, est à l'origine de ce nouveau stratagème. GLOBAL GROUP a été promu sur le forum Ramp4u et est largement considéré comme une nouvelle marque de BlackLock, lui-même issu d'Eldorado.
Ce changement de marque fait suite à un incident survenu en mars 2025, lorsque le site de fuite de données de BlackLock a été profané par le cartel DragonForce. En créant GLOBAL GROUP, les opérateurs souhaitaient moderniser leur infrastructure, renforcer l'attrait de leurs affiliés et restaurer leur crédibilité.
Tactiques d’attaque et vecteurs d’entrée
GLOBAL GROUP adopte une approche financièrement motivée en s'appuyant sur des courtiers d'accès initial (IAB) pour l'infiltration de son réseau. Ces courtiers fournissent un accès pré-compromis aux réseaux d'entreprise, permettant ainsi aux filiales de se concentrer sur le déploiement et les négociations des rançongiciels plutôt que sur les efforts d'infiltration.
Les techniques clés comprennent :
- Exploiter l'accès aux appliances périphériques vulnérables de Cisco, Fortinet et Palo Alto
- Utilisation d'utilitaires de force brute ciblant les portails Microsoft Outlook et RDWeb
- Acquisition du protocole RDP (Remote Desktop Protocol) ou de l'accès au shell Web pour les cabinets d'avocats et autres cibles similaires
Une fois à l'intérieur, les attaquants déploient des outils de post-exploitation, effectuent des mouvements latéraux, exfiltrent des données sensibles et lancent des charges utiles de ransomware.
Au cœur de l’écosystème RaaS
GLOBAL GROUP propose un vaste panel d'affiliés et une plateforme de négociation. Ce panel permet aux partenaires de :
- Créez des charges utiles de ransomware pour VMware ESXi, NAS, BSD et Windows.
- Suivez les victimes et gérez les opérations.
- Utilisez des fonctionnalités adaptées aux mobiles pour une gestion en temps réel.
Les affiliés se voient promettre une part des revenus de 85 %, une incitation attractive pour le recrutement. Le portail de négociation, alimenté par des chatbots pilotés par l'IA, permet une interaction multilingue, facilitant ainsi aux affiliés non anglophones un dialogue efficace avec les victimes.
Profil de la victime et impact mondial
Au 14 juillet 2025, GLOBAL GROUP a fait 17 victimes dans divers secteurs, dont :
- soins de santé
- Fabrication d'équipements pétroliers et gaziers
- Machines industrielles et ingénierie de précision
- Services de réparation automobile et de récupération après accident
- Externalisation des processus d'affaires (BPO)
ADN technique et évolution
L'analyse révèle des similitudes de code entre GLOBAL GROUP et Mamona, ainsi que l'utilisation du même fournisseur VPS russe (IpServer). Le ransomware, écrit en Go, offre des capacités d'installation à l'échelle du domaine, ce qui le distingue des versions précédentes. Cette évolution technologique souligne une décision stratégique visant à accroître l'engagement des affiliés et à renforcer la résilience opérationnelle.
Pourquoi GLOBAL GROUP met en avant des risques croissants
Le lancement de GLOBAL GROUP illustre la volonté délibérée des opérateurs de ransomware d'innover, en intégrant des négociations basées sur l'IA, des générateurs de charges utiles personnalisables et des incitations d'affiliation avancées. Cette modernisation témoigne d'une course aux armements croissante dans le secteur des ransomwares, représentant une menace importante pour les défenses mondiales de cybersécurité.
