サイバーセキュリティ研究者は、新たなランサムウェア・アズ・ア・サービス(RaaS)オペレーションであるGLOBAL GROUPについて明らかにしました。このグループは2025年6月初旬の出現以来、オーストラリア、ブラジル、ヨーロッパ、アメリカ合衆国の幅広い業種を標的にしています。
GLOBAL GROUPは「Ramp4uフォーラムで『$$$』として知られる脅威アクターによって宣伝されていた」とEclecticIQの研究者Arda Büyükkayaが述べています。「同じアクターがBlackLock RaaSを管理しており、以前はMamonaランサムウェアの運営も行っていました。」
GLOBAL GROUPは、今年3月にDragonForceランサムウェアカルテルによってBlackLockのデータリークサイトが改ざんされた後、BlackLockのリブランディングであると考えられています。また、BlackLock自体もEldoradoとして知られる別のRaaSスキームのリブランディングです。
金銭目的のこのグループは、Cisco、Fortinet、Palo Alto Networksの脆弱なエッジ機器へのアクセスを武器化するため、初期アクセスブローカー(IAB)に大きく依存してランサムウェアを展開していることが判明しています。また、Microsoft OutlookやRDWebポータル向けのブルートフォースツールも使用されています。
$$$は、法律事務所などの企業ネットワークへのリモートデスクトッププロトコル(RDP)やウェブシェルアクセスを取得し、これを利用して事後侵害ツールの展開、ラテラルムーブメント、データの吸い上げ、ランサムウェアの展開を行っています。
侵入フェーズを他の脅威アクターにアウトソーシングし、事前に侵害されたエントリーポイントを提供させることで、アフィリエイトはネットワーク侵入ではなく、ペイロード配信、恐喝、交渉に注力できるようになります。
このRaaSプラットフォームには交渉ポータルとアフィリエイトパネルが備わっており、後者ではサイバー犯罪者が被害者を管理し、VMware ESXi、NAS、BSD、Windows向けのランサムウェアペイロードを作成し、オペレーションを監視できます。さらに多くのアフィリエイトを惹きつけるため、脅威アクターは収益の85%を分配するモデルを約束しています。
「GLOBAL GROUPの身代金交渉パネルには、AI駆動のチャットボットによる自動化システムが搭載されています」とオランダのセキュリティ企業は述べています。「これにより、英語を話さないアフィリエイトも被害者とより効果的に交渉できるようになります。」
2025年7月14日時点で、このRaaSグループはオーストラリア、ブラジル、ヨーロッパ、アメリカ合衆国の医療、石油・ガス機器製造、産業機械・精密工学、自動車修理、事故回収サービス、大規模なビジネスプロセスアウトソーシング(BPO)など、17件の被害を主張しています。
BlackLockやMamonaとの関連は、同じロシアのVPSプロバイダーIpServerの利用や、Mamonaとのソースコードの類似性から明らかになっています。具体的には、GLOBAL GROUPはMamonaの進化系であり、ドメイン全体へのランサムウェアインストールを可能にする機能が追加されています。さらに、マルウェアはBlackLockと同様にGo言語で記述されています。
「BlackLockの管理者によるGLOBAL GROUPの創設は、運営の近代化、収益源の拡大、ランサムウェア市場での競争力維持を狙った意図的な戦略です」とBüyükkayaは述べています。「この新ブランドは、AIによる交渉、モバイル対応パネル、カスタマイズ可能なペイロードビルダーを統合し、より幅広いアフィリエイト層に訴求しています。」
この発表は、Qilinランサムウェアグループが2025年6月に最も活発なRaaSオペレーションとして81件の被害を出したことを受けてのものです。他の主要なプレイヤーにはAkira(34件)、Play(30件)、SafePay(27件)、DragonForce(25件)が含まれます。
「SafePayは62.5%という大幅な減少を記録し、大きな後退が示唆されます」とサイバーセキュリティ企業CYFIRMAは述べています。「DragonForceは急速に台頭し、攻撃件数が212.5%急増しました。」
全体として、ランサムウェア被害者の総数は2025年5月の545件から6月には463件へと15%減少しました。今年最多は2月の956件です。
「件数の減少にもかかわらず、地政学的緊張や大規模なサイバー攻撃は不安定化の拡大を示しており、サイバー脅威のリスクが高まる可能性があります」とNCC Groupは先月末に指摘しています。
OptivのGlobal Threat Intelligence Center(gTIC)が収集したデータによると、2025年第1四半期には314人のランサムウェア被害者が74のユニークなデータリークサイトに掲載されており、被害者数は213%増加しています。2024年第1四半期には合計56種類のバリアントが観測されました。
「ランサムウェアオペレーターは、被害者への初期アクセス獲得に引き続き実績ある手法を使用しています――ソーシャルエンジニアリング/フィッシング、ソフトウェア脆弱性の悪用、公開・非安全なソフトウェアの侵害、サプライチェーン攻撃、そして初期アクセスブローカー(IAB)コミュニティの活用です」とOptivの研究者Emily Leeは述べています。
翻訳元: https://thehackernews.com/2025/07/newly-emerged-global-group-raas-expands.html