СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.11.2025
#Dev#ИБ#Инфра

Global Group: вымогатель, ребрендинг и атаки на здравоохранение

Коротко: Анализ работы программы-вымогателя Global Group выявил прямые технологические и оперативные параллели с ранее известными кампаниями — BlackLock и Mamona Rip. Центром координации в сети киберпреступников выступал пользователь с ником «$$$» на форуме RAMP, а инфраструктура операции включает ресурсы провайдера VPS IpServer. Нововведение — явный прицел на сектор здравоохранения в западных странах, что свидетельствует о стратегическом смещении виктимологии.

Кто стоит за операцией

Связь между Global Group и предыдущими семействами вымогателей подтверждается как по операционным следам, так и по совпадению используемой инфраструктуры. Пользователь «$$$» на форуме RAMP — активный участник с 2024 года — продвигал множество операций и, по всей видимости, выступал в роли связующего звена с брокерами первоначального доступа (IAB).

«Операторы Global Group, похоже, используют рынок доступа и существующие криминальные каналы для быстрого масштабирования атак»

Технические возможности и тактика

Программа-вымогатель Global Group обладает широким набором функций, адаптируемых через аргументы командной строки при запуске. Ключевые технические возможности:

  • Перемещение внутри сети через LDAP и подключения к общим ресурсам SMB/Windows Admin;
  • Отключение антивирусных сервисов и очистка журналов событий Windows для обхода средств защиты;
  • Комплексное шифрование: файлы, каталоги и диски — модуль выполнения практически не оставляет нетронутых объектов;
  • Использование Windows command shell и Windows API для выполнения задач и закрепления в системе;
  • Механизмы закрепления: создание запланированных задач и системных служб;
  • Сканирование сети и чтение записей реестра Windows для поиска целей и обхода обнаружения.

Инфраструктура и связи

Анализ инфраструктуры указывает на использование VPS-провайдера IpServer, связанного с несколькими известными группами, включая Mamona RIP и BlackLock. Публичный сайт утечек данных (DLS) Global Group демонстрирует признаки ребрендинга и имеет общую историю атак и совместных жертв с BlackLock и Eldorado.

Модель приобретения доступа и эволюция целей

Наиболее вероятный сценарий первоначального доступа — покупка действительных учетных записей у брокеров первоначального доступа (IAB). Такая зависимость от IAB ускоряет проникновение в сети жертв и снижает барьер входа для операторов. Интересно, что Global Group целенаправленно сместила фокус на здравоохранение в западных странах — вероятно, из-за высокой критической значимости сервисов и большей вероятности выплаты выкупа.

Операционные сигналы и возможный ребрендинг

Отдельные признаки указывают на подготовку к реструктуризации или ребрендингу:

  • прекращение подачи заявлений жертвами на публичных ресурсах;
  • изменения в рекламной тактике на форуме RAMP;
  • изменения в DLS, свидетельствующие о попытках замаскировать прежнюю активность.

Рекомендации для организаций и службы безопасности

Учитывая выявленные методы и прицел на здравоохранение, организациям следует сделать приоритетом защиту критических сервисов и учетных записей. Практические меры:

  • Внедрить многофакторную аутентификацию (MFA) и ужесточить управление учетными данными (пароли, ротация, мониторинг утечек);
  • Ограничить доступ к SMB-шерам и управлению по протоколам Windows Admin, применяя принцип наименьших привилегий;
  • Мониторить и блокировать необычные LDAP-запросы и массовые операции с реестром;
  • Включить централизованный сбор и сохранение логов (Event Logs) с защитой от удаления и регулярным аудитом;
  • Контролировать создание запланированных задач и установку новых сервисов, применять whitelisting для исполняемых файлов;
  • Регулярно создавать надежные, проверяемые офлайн-резервные копии критичных данных;
  • Отслеживать инфраструктурные индикаторы (IoC) — подключения к хостам, связанным с IpServer, и активности на ресурсах DLS;
  • Взаимодействовать с поставщиками EDR/NGAV для обнаружения попыток отключения средств защиты и аномального шифрования файлов.

Вывод

Global Group демонстрирует характерную для современных квартир программ-вымогателей модель: использование старых наработок и инфраструктуры при одновременном смещении тактических целей в сторону более прибыльных секторов. Комбинация покупки доступа у IAB, гибкости исполняемых модулей и активных мер по обходу защиты делает группу опасным и адаптивным противником — особенно для учреждений здравоохранения. Ожидается дальнейшая трансформация брендов и каналов коммуникации, поэтому оперативный мониторинг угроз и проактивные меры по защите учетных данных и сети остаются критически важными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: