Global Group olarak adlandırılan yeni ortaya çıkan fidye yazılımı operasyonu, kurbanlar üzerindeki psikolojik baskıyı ve iştirakler için gasp iş akışlarını düzene yükselten AI odaklı bir müzakere aracı kullanmaya başladı.
Eclecticiq’teki güvenlik araştırmacıları, “$$$” olarak bilinen tehdit aktörünün özel bir sızıntı alanına bir soğan bağlantısı paylaştığı ve yaklaşan bir tam hizmet RAAS platformunu tanıttığı Global Grubun faaliyetini Haziran ayı başlarında Ramp4U Yeraltı Forumu’nda belirledi.
Sonraki analiz, küresel grubun, aynı aktörün yönetimi altında, şimdi yok olan Mamona fidye yazılımlarının halefi olan siyah kilit Raas operasyonunun yeniden markalaşmasını temsil ettiğini göstermektedir.
Global Group’un altyapısı büyük ölçüde yüksek değerli kurumsal ağlarda dayanak satan ilk erişim brokerlerine (IAB) dayanmaktadır.
Bu brokerler, SAP NetWeaver ortamları için, özellikle Fortinet, Palo Alto ve Cisco-uzlaşmış VPN cihazları aracılığıyla uzaktan erişim sağlar ve Microsoft Outlook Web Access ve RDWeb portallarına kaba kuvvet erişimi.
Bir bağlı kuruluş girişi koruduktan sonra, geleneksel uç nokta savunmaları tepki vermeden önce hasarı en üst düzeye çıkarmak için kaos ve hızdan yararlanan özelleştirilmiş fidye yazılımı yükleri dağıtırlar.
Grubun yeni müzakere sistemi, kurbanlara senaryo bir gasp diyaloğu yoluyla rehberlik eden ısmarlama yapay zeka sohbet botları tarafından desteklenmektedir.
İştirakler birden fazla dil seçeneğinden seçim yaparlar ve İngilizce konuşmayan suçluların hedefleriyle anadili olarak akıcı bir şekilde etkileşime girmesini sağlar.
Bir kez nişanlandıktan sonra, AI zaman basıncını aşamalı olarak sıkar, mağdurların gecikmesi durumunda veri sızıntılarını ve kamu sarsıntısını tehdit eder.
Eclecticiq’e göre, bazı kurbanlara yedi haneli talepler sunuldu-bu, şifre çözme anahtarları için ortak bir milyon ABD dolarını aştı-ve cevap vermesi 48 saat kadar kısa bir süre verildi.
Perde arkasında, Global Group’un sızıntı sitesi, Amerika Birleşik Devletleri ve Avustralya’daki sağlık hizmeti sağlayıcılarına, Birleşik Krallık’ta bir endüstriyel makine firması ve Brezilya gibi bölgelerdeki diğer hedeflere ait tehlikeye atılmış veri setlerini ortaya koyuyor.
Araştırmacılar, sitenin gerçek IP’sini Mamona’nın operasyonlarıyla ilişkili Rusya merkezli bir VPS sağlayıcısına kadar takip ettiler ve tekrarlanan altyapı yeniden kullanımı ve operasyonel güvenlik turları yoluyla tehdit oyuncunun kimliğini doğruladı.
Global Grubun bağlı kuruluşlarına, tecrübeli siber suçluları rakip RAAS tekliflerinden uzak tutmak için tasarlanmış bir model olan fidye ödemelerinin yüzde 80 ila 85’si vaat edilmektedir.
Platformun satış ortağı kontrol paneli, operatörlerin Windows, Linux, ESXI ve BSD için platformlar arası yükler oluşturmalarına, şifreleme bayraklarını yapılandırmasına ve SMB ve kötü niyetli Windows hizmetlerini kullanarak otomatik alan çapında dağıtımları başlatmasına olanak tanır.
AI müzakere arayüzü ile eşleştirilen bu özelleştirme derecesi, RAAS pazarının olgunlaşmasını siber suç için rekabetçi bir “hizmet ekonomisi” haline getirir.
Kolluk kuvvetleri ve siber güvenlik firmaları fidye yazılımı sendikaları üzerindeki baskıyı artırırken, Global Group’un hızlı kurban tahakkukları ve yedi rakamlı gasp talepleri, RAAS operasyonlarının esnek kaldığını ve şimdi kârlarını sürdürmek ve ölçeklendirmek için yapay zekadan yararlandığını göstermektedir.
Global Group’un gelişen taktiklerinin izlenmesi, daha sağlam savunma stratejileri geliştirmek ve bu sofistike fidye yazılımı kampanyalarını besleyen bağlı kuruluş ağlarını bozmak için kritik olacaktır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.