Cybersecurity-onderzoekers hebben licht geworpen op een nieuwe ransomware-as-a-service (RAAS) Operatie genaamd Wereldwijde groep Dat heeft zich gericht op een breed scala aan sectoren in Australië, Brazilië, Europa en de Verenigde Staten sinds de opkomst begin juni 2025.
Global Group werd “gepromoveerd op het RAMP4U -forum door de dreigingsacteur die bekend staat als ‘$$$’,” zei Eclecticiq -onderzoeker Arda Büyükkaya. “Dezelfde acteur bestuurt de Blacklock RAAS en beheerde eerder Mamona Ransomware -bewerkingen.”
Er wordt aangenomen dat Global Group een rebranding van Blacklock is nadat de gegevensleksite van laatstgenoemde in maart was onleesbaar door het Dragonforce Ransomware -kartel. Het is vermeldenswaard dat Blacklock op zichzelf een rebrand is van een ander RAAS -schema dat bekend staat als Eldorado.
De financieel gemotiveerde groep is gevonden om zwaar te leunen op de initiële toegangsmakelaars (IABS) om de ransomware te implementeren door toegang te bewapenen tot kwetsbare edge -apparaten van Cisco, Fortinet en Palo Alto Networks. Ook in gebruik zijn Brute-Force-hulpprogramma’s voor Microsoft Outlook en RDWEB-portals.
$$$ heeft Remote Desktop Protocol (RDP) of Web Shell Access overgenomen tot bedrijfsnetwerken, zoals die gerelateerd aan advocatenkantoren, als een manier om post-exploitatiehulpmiddelen te implementeren, laterale beweging, siphon-gegevens uit te voeren en de ransomware te implementeren.
Door de infiltratiefase uit te besteden aan andere dreigingsactoren, die vooraf gecompromitteerde toegangspunten in bedrijfsnetwerken leveren, kunnen gelieerde ondernemingen hun inspanningen doen aan het leveren van lading, afpersing en onderhandeling in plaats van netwerkpenetratie.
Het RAAS -platform wordt geleverd met een onderhandelingsportaal en een aangesloten panel, waarvan de laatste cybercriminelen in staat stelt slachtoffers te beheren, ransomware -ladingen te bouwen voor VMware ESXI, NAS, BSD en Windows en bewerkingen. In een poging om meer gelieerde ondernemingen te verleiden, beloven de dreigingsactoren een model voor het delen van inkomsten van 85%.
“Het Ransom-onderhandelingspanel van Global Group heeft een geautomatiseerd systeem aangedreven door AI-aangedreven chatbots,” zei het Nederlandse beveiligingsbedrijf. “Hierdoor kunnen niet-Engelstalige gelieerde ondernemingen effectiever slachtoffers betrekken.”
Vanaf 14 juli 2025 heeft de RAAS-groep 17 slachtoffers geëist in Australië, Brazilië, Europa en de Verenigde Staten, over de fabricage van de gezondheidszorg, de olie-en-gasuitrusting, industriële machines en precisie-engineering, autoreparatie, access-hersteldiensten en grootschalige bedrijfsprocesuitourcing (BPO).
De links naar Blacklock en Mamona komen voort uit het gebruik van dezelfde Russische VPS -provider Ipserver en broncode -overeenkomsten met Mamona. In het bijzonder wordt gezegd dat Global Group een evolutie van Mamona is met extra functies om domein-brede ransomware-installatie mogelijk te maken. Bovendien is de malware ook geschreven in Go, net als Blacklock.
“De oprichting van Global Group by Blacklock’s beheerder is een opzettelijke strategie om de activiteiten te moderniseren, inkomstenstromen uit te breiden en concurrerend te blijven in de ransomware -markt,” zei Büyükkaya. “Dit nieuwe merk integreert AI-aangedreven onderhandelingen, mobielvriendelijke panelen en aanpasbare payloadbouwers, die aantrekkelijk is voor een bredere pool van gelieerde ondernemingen.”
De openbaarmaking komt wanneer de Qilin Ransomware -groep ontstond als de meest actieve RAAS -operatie in juni 2025, goed voor 81 slachtoffers. Andere grote spelers zijn Akira (34), Play (30), Safepay (27) en Dragonforce (25).
“Safepay zag de steilste daling op 62,5%, wat een grote terugtrekking suggereert,” zei Cybersecurity Company Cyfirma. “Dragonforce kwam snel naar voren, met aanvallen met 212,5%.”
In totaal is het totale aantal slachtoffers van ransomware gedaald van 545 in mei tot 463 in juni 2025, een daling van 15%. Februari staat bovenaan de lijst van dit jaar met 956 slachtoffers.
“Ondanks de daling van het aantal, benadrukken geopolitieke spanningen en spraakmakende cyberaanvallen de groeiende instabiliteit, waardoor het risico op cyberdreigingen mogelijk wordt verhoogd,” merkte NCC Group eind vorige maand op.
Volgens gegevens verzameld door Optiv’s Global Threat Intelligence Center (GTIC) werden 314 slachtoffers van ransomware vermeld op 74 unieke dataleksites in Q1 2025, wat een toename van 213% van het aantal slachtoffers vertegenwoordigt. In totaal werden 56 varianten waargenomen in Q1 2024.
“Ransomware-operators bleven beproefde methoden gebruiken om initiële toegang te krijgen tot slachtoffers-social engineering/phishing, exploitatie van software-kwetsbaarheden, het compromitteren van blootgestelde en onzekere software, supply chain-aanvallen en het gebruik van de initiële Access Broker (IAB) -gemeenschap,” zei Optiv Researcher Emily Lee.
