Siber güvenlik araştırmacıları, hizmet olarak yeni bir fidye yazılımı (RAAS) operasyonuna ışık tuttular. Küresel grup Bu, Haziran 2025’in başlarında ortaya çıkmasından bu yana Avustralya, Brezilya, Avrupa ve Amerika Birleşik Devletleri’nde çok çeşitli sektörleri hedef aldı.
Eclecticiq araştırmacısı Arda Buykaya, küresel grup “$$$ ‘olarak bilinen tehdit oyuncusu tarafından” $$$’ olarak bilinen tehdit oyuncusu tarafından tanıtıldı. “Aynı aktör Blacklock Raas’ı kontrol ediyor ve daha önce Mamona Fidye Yazılımı operasyonlarını yönetiyor.”
Küresel grubun, Mart ayında Dragonforce fidye yazılımı karteli tarafından tahrif edildikten sonra Blacklock’un yeniden markalanması olduğuna inanılıyor. Blacklock’un kendi içinde Eldorado olarak bilinen başka bir Raas şemasının yeniden markası olduğunu belirtmek gerekir.
Finansal olarak motive olmuş grubun, Cisco, Fortinet ve Palo Alto Networks’ten savunmasız kenar cihazlarına erişimin silahlandırılmasıyla fidye yazılımlarını dağıtmak için başlangıç erişim brokerlerine (IABS) yoğun bir şekilde eğildiği bulunmuştur. Ayrıca Microsoft Outlook ve RDWeb Portals için Brute-Force yardımcı programları da kullanıma sunulur.
$$$, kovma sonrası araçları konuşlandırmanın, yanal hareket, sifon verilerini yürütmenin ve fidye yazılımlarını dağıtmanın bir yolu olarak, hukuk firmaları ile ilgili olanlar gibi kurumsal ağlara uzak masaüstü protokolü (RDP) veya web kabuğu erişimi satın aldı.
Sızma aşamasını, kurumsal ağlara önceden hükmedilmiş giriş puanları sağlayan diğer tehdit aktörlerine dış kaynak kullanımı, bağlı kuruluşların ağ penetrasyonu yerine yük teslimatı, gasp ve müzakere konusundaki çabalarını harcamalarına izin verir.
RAAS platformu, bir müzakere portalı ve bir bağlı kuruluş paneli ile birlikte gelir, bu da siber suçluların kurbanları yönetmesine, VMware ESXI, NAS, BSD ve Windows için fidye yazılımı yükleri oluşturmasına ve izleme işlemleri oluşturmasına izin verir. Daha fazla bağlı kuruluşu ikna etmek için, tehdit aktörleri%85’lik bir gelir paylaşım modeli vaat ediyor.
Hollanda güvenlik şirketi, “Global Group’un Fidye Müzakere Paneli, AI güdümlü sohbet botları tarafından desteklenen otomatik bir sistem içeriyor.” Dedi. Diyerek şöyle devam etti: “Bu, İngilizce konuşmayan bağlı kuruluşların kurbanları daha etkili bir şekilde meşgul etmelerini sağlıyor.”
14 Temmuz 2025 itibariyle RAAS Grubu, Avustralya, Brezilya, Avrupa ve Amerika Birleşik Devletleri’nde sağlık, petrol ve gaz ekipmanı imalat, endüstriyel makineler ve hassas mühendislik, otomotiv onarımı, kaza kurtarma hizmetleri ve büyük ölçekli iş süreci dış kaynak kullanımı (BPO) kapsayan 17 kurban talep etti.
Blacklock ve Mamona’ya olan bağlantılar, Mamona ile aynı Rus VPS sağlayıcısı IPServer ve kaynak kodu benzerliklerinin kullanımından kaynaklanıyor. Özellikle, Global Group’un, etki alanı çapında fidye yazılımı kurulumunu etkinleştirmek için ek özelliklere sahip Mamona’nın bir evrimi olduğu söylenir. Dahası, kötü amaçlı yazılım, tıpkı Blacklock gibi Go’da da yazılmıştır.
Buykaya, “Blacklock’un yöneticisi tarafından küresel grubun oluşturulması, operasyonları modernize etmek, gelir akışlarını genişletmek ve fidye yazılımı pazarında rekabetçi kalmak için kasıtlı bir stratejidir.” Dedi. Diyerek şöyle devam etti: “Bu yeni marka, daha geniş bir bağlı kuruluş havuzuna hitap eden yapay zeka ile çalışan müzakere, mobil dostu paneller ve özelleştirilebilir yük üreticilerini entegre ediyor.”
Açıklama, Qilin fidye yazılımı grubunun Haziran 2025’te en aktif RAAS operasyonu olarak ortaya çıkması ve 81 kurbanı hesaba katarak ortaya çıkıyor. Diğer büyük oyuncular arasında Akira (34), Play (30), SafePay (27) ve Dragonforce (25) yer alıyor.
Siber güvenlik şirketi Cyfirma, “SafePay en dik düşüşü%62,5 oranında gördü ve büyük bir geri çekilme önerdi.” Dedi. “Dragonforce hızla ortaya çıktı, saldırılar%212.5 oranında arttı.”
Toplamda, fidye yazılımı kurbanlarının toplam sayısı Mayıs ayında 545’ten Haziran 2025’te% 15 düşüşle düştü. Şubat 956 kurbanla bu yılki listenin başında.
NCC Group geçen ayın sonlarında, “Sayılardaki düşüşe rağmen, jeopolitik gerilimler ve yüksek profilli siber saldırılar artan istikrarsızlığı vurgulayarak siber tehdit riskini artırıyor.”
Optiv’in Global Tehdit İstihbarat Merkezi (GTIC) tarafından toplanan verilere göre, 314 fidye yazılımı kurbanı, kurbanların sayısında% 213’lük bir artışı temsil eden 74 benzersiz veri sızıntı bölgesinde listelendi. Çeyrek 2024’te toplam 56 varyant gözlenmiştir.
OptiV araştırmacısı Emily Lee, “Fidye yazılımı operatörleri, sosyal mühendislik/kimlik avı, yazılım güvenlik açıklarından yararlanması, açık ve güvensiz yazılımlardan ödün vermesini, tedarik zinciri saldırılarını ve ilk erişim brokeri (IAB) topluluğundan yararlanmak için kurbanlara ilk erişim elde etmek için denenmiş ve gerçek yöntemler kullanmaya devam etti.