В начале июня 2025 года специалисты по кибербезопасности обратили внимание на появление новой операции в сфере программ-вымогателей под названием GLOBAL GROUP. Эта группа быстро привлекла внимание экспертов благодаря инновационному подходу к ведению преступной деятельности — интеграции искусственного интеллекта в процесс переговоров с жертвами. GLOBAL GROUP уже продемонстрировала широкую географию атак, затрагивая такие регионы, как Австралия, Бразилия, Европа и Соединённые Штаты. В числе пострадавших оказались компании из различных секторов экономики — здравоохранения, промышленности, автомобильного ремонта и бизнес-услуг, что свидетельствует о широте и масштабах деятельности группы. Ранее известные как BlackLock и Mamona, GLOBAL GROUP представляют собой эволюцию уже существующих программ-вымогателей.
Эти изменения стали особенно заметны после того, как сайт с утечками данных BlackLock был взломан и обезврежен конкурирующим хакерским объединением DragonForce в марте 2025 года. Изменение имени и ребрендинг GLOBAL GROUP позволили организаторам скрыть прежние ошибки и в то же время обновить технические составляющие и методы ведения операций. Технически группа применяет изощрённые методы проникновения в корпоративные сети, активно используя начальных брокеров доступа (IABs), благодаря которым получают уязвимые точки доступа к корпоративным системам, включая устройства таких производителей, как Cisco, Fortinet и Palo Alto Networks. Помимо этого, преступники применяют атаки типа brute-force для взлома учётных записей Microsoft Outlook и порталов RDWeb, что позволяет получить контроль над инфраструктурой жертвы. Полученный доступ группировка использует для проведения латерального перемещения внутри сети, сбора конфиденциальной информации и запуска вредоносных программ.
Одной из наиболее примечательных особенностей GLOBAL GROUP является наличие специализированной платформы РaaS (Ransomware-as-a-Service), предоставляющей удобные инструменты для управления операциями. Платформа включает панель для партнёров, которые отвечают за доставку вредоносных программ и ведут переговоры по выкупу, а также автоматический портал для переговоров, основанный на искусственном интеллекте. Эта AI-система помогает неанглоговорящим злоумышленникам более эффективно взаимодействовать с жертвами, автоматизируя ведение диалогов и тем самым повышая эффективность вымогательства. По словам экспертов компании EclecticIQ, управляющий группой под псевдонимом «$$$» — тот же, кто стоял за BlackLock и ранее Mamona. Такой переход к AI-поддержке переговоров отражает желание оптимизировать бизнес-модель и выделиться на фоне конкурентов.
Предлагаемая модель распределения доходов — до 85% прибыли от выкупа — делает сотрудничество с GLOBAL GROUP привлекательным для новых киберпреступников, желающих использовать готовые инструменты для реализации своих атак без необходимости самостоятельно заниматься проникновением в сети. Не менее важной инновацией является мультиплатформенность создаваемых вирусных нагрузок. GLOBAL GROUP предлагают инструменты для генерации вредоносных программ, ориентированных на разные операционные системы и среды, такие как VMware ESXi, NAS, BSD и Windows, что значительно расширяет спектр возможных целей атаки. Такая универсальность повышает шансы успешного заражения и получения выкупа. В период с июня по июль 2025 года группа объявила о минимум 17 зафиксированных атаках, затрагивающих разнообразные отрасли.
Помимо расширенного использования AI в переговорах, GLOBAL GROUP выделяется мобильной версией панели управления, что повышает удобство и оперативность работы киберпреступников. В то же время статистика отказов и изменений на рынке RaaS демонстрирует напряжённую конкуренцию. Например, группа Qilin вышла на первое место по количеству жертв, а такие игроки, как Akira, Play, SafePay и DragonForce, продолжают активно вести свои операции, хотя некоторые, например SafePay, заметно сократили активность. Снижение общего числа зафиксированных жертв в июне относительно мая 2025 года на 15% свидетельствует о динамике рынка, однако усиление геополитической напряжённости и рост количества сложных сложных кибератак поддерживают высокий уровень угрозы для компаний по всему миру. Аналитики отмечают, что традиционные методы проникновения, такие как фишинг, эксплуатация уязвимостей, атаки на цепочки поставок и взаимодействие с сетями начальных брокеров, по-прежнему остаются основными каналами для проникновения программ-вымогателей.
Однако внедрение искусственного интеллекта в процесс ведения переговоров позволяет преступникам оптимизировать время, затрачиваемое на коммуникацию с жертвами, и повысить уровень успешного получения выкупа. Эксперты предупреждают, что в условиях быстрого развития технологий, в том числе и в сфере криминального ПО, компании и организации должны усилить меры по кибербезопасности, внимательно следить за обновлениями программного обеспечения, активно обучать персонал и внедрять многоуровневую систему защиты. Особое внимание следует уделить контролю доступа, мониторингу подозрительной активности и быстрому реагированию на инциденты, чтобы свести к минимуму потенциальные повреждения в случае атаки. Разработчики защиты также изучают новые подходы, основанные на использовании AI, для выявления и противодействия автоматизированным методам вымогательства. Формируется тренд на более глубокий анализ поведения вредоносных программ и проактивное обнаружение аномалий внутри корпоративных сетей.
