Таинственный "$$$" создал Uber для киберпреступников: 85% дивидендов привлекли армию инвесторов-хакеров
NewsMakerКогда вымогатель платит больше, чем инвестфонд — кто настоящий стартап?
Группа киберпреступников запустила новую RaaS -платформу под названием GLOBAL GROUP, активно атакуя организации в Австралии, Бразилии, Европе и США с начала июня 2025 года. По данным EclecticIQ, за этим проектом стоит фигура под псевдонимом «$$$», ранее управлявшая вымогателями BlackLock и Mamona. GLOBAL GROUP, как полагают, представляет собой очередное переименование BlackLock , который сам ранее был преемником схемы Eldorado . Причиной ребрендинга стало уничтожение сайта утечек данных BlackLock конкурентной группой DragonForce в марте.
GLOBAL GROUP применяет выверенную и агрессивную тактику — с сильной зависимостью от брокеров начального доступа ( IAB ). Эти брокеры предоставляют доступ к уязвимым устройствам от Cisco, Fortinet и Palo Alto Networks, а также осуществляют атаки методом перебора паролей на порталы Microsoft Outlook и RDWeb. Сам «$$$» приобрёл доступ через протокол RDP и веб-оболочки к корпоративным сетям, в том числе юридических компаний, что позволило развернуть инструменты постэксплуатации, перемещаться по сети, похищать данные и запускать шифровальщик.
Такая модель позволяет участникам платформы сосредоточиться на доставке полезной нагрузки, вымогательстве и переговорах, избегая сложностей первоначального проникновения. Инфраструктура GLOBAL GROUP включает панель для партнёров и интерфейс переговоров, поддерживаемый чат-ботами с ИИ. Это особенно важно для неанглоязычных участников, так как упрощает процесс общения с жертвами.
RaaS-платформа предоставляет возможность создавать полезную нагрузку под системы VMware ESXi, NAS, BSD и Windows, а также следить за ходом атак. Партнёрам предлагается доля дохода в размере 85%, что делает платформу весьма привлекательной на фоне конкурентов.
По состоянию на 14 июля 2025 года жертвами GLOBAL GROUP стали 17 организаций, представляющих здравоохранение, машиностроение, нефтегазовую промышленность, автосервис, аварийное восстановление и крупный аутсорсинг бизнес-процессов.
Связь между GLOBAL GROUP, BlackLock и Mamona прослеживается через использование одного и того же российского VPS-провайдера IpServer и сходство исходного кода. Сам вредоносный код GLOBAL GROUP написан на языке Go, как и в BlackLock. По сути, новая платформа является эволюцией Mamona, получившей функции для внедрения по всей доменной сети.
Создание GLOBAL GROUP рассматривается как стратегический шаг со стороны администрации BlackLock — попытка модернизировать свои инструменты, привлечь новых участников и остаться конкурентоспособными. Среди улучшений — поддержка мобильных устройств, генерация кастомизированных шифровальщиков и AI-интеграция в панели.
На фоне появления GLOBAL GROUP платформа Qilin стала самой активной RaaS-группой в июне 2025 года, зафиксировав 81 атаку. Следом идут Akira (34), Play (30), SafePay (27) и DragonForce (25). При этом SafePay демонстрирует заметный спад активности — падение на 62,5%, тогда как DragonForce, напротив, показала рост на 212,5%.
В целом количество атак программ-вымогателей сократилось с 545 в мае до 463 в июне, что составляет снижение на 15%. Однако февраль 2025 года остаётся рекордным — тогда жертвами стали 956 организаций.
Согласно данным Global Threat Intelligence Center компании Optiv, в первом квартале 2025 года на 74 сайтах утечек было опубликовано 314 жертв, что на 213% больше по сравнению с тем же периодом 2024 года. Специалисты отмечают, что злоумышленники по-прежнему используют классические методы проникновения — фишинг, эксплуатацию уязвимостей, взлом открытых сервисов и компрометацию цепочек поставок. Центральную роль играют также посредники, предлагающие готовые точки входа.
Группа киберпреступников запустила новую RaaS -платформу под названием GLOBAL GROUP, активно атакуя организации в Австралии, Бразилии, Европе и США с начала июня 2025 года. По данным EclecticIQ, за этим проектом стоит фигура под псевдонимом «$$$», ранее управлявшая вымогателями BlackLock и Mamona. GLOBAL GROUP, как полагают, представляет собой очередное переименование BlackLock , который сам ранее был преемником схемы Eldorado . Причиной ребрендинга стало уничтожение сайта утечек данных BlackLock конкурентной группой DragonForce в марте.
GLOBAL GROUP применяет выверенную и агрессивную тактику — с сильной зависимостью от брокеров начального доступа ( IAB ). Эти брокеры предоставляют доступ к уязвимым устройствам от Cisco, Fortinet и Palo Alto Networks, а также осуществляют атаки методом перебора паролей на порталы Microsoft Outlook и RDWeb. Сам «$$$» приобрёл доступ через протокол RDP и веб-оболочки к корпоративным сетям, в том числе юридических компаний, что позволило развернуть инструменты постэксплуатации, перемещаться по сети, похищать данные и запускать шифровальщик.
Такая модель позволяет участникам платформы сосредоточиться на доставке полезной нагрузки, вымогательстве и переговорах, избегая сложностей первоначального проникновения. Инфраструктура GLOBAL GROUP включает панель для партнёров и интерфейс переговоров, поддерживаемый чат-ботами с ИИ. Это особенно важно для неанглоязычных участников, так как упрощает процесс общения с жертвами.
RaaS-платформа предоставляет возможность создавать полезную нагрузку под системы VMware ESXi, NAS, BSD и Windows, а также следить за ходом атак. Партнёрам предлагается доля дохода в размере 85%, что делает платформу весьма привлекательной на фоне конкурентов.
По состоянию на 14 июля 2025 года жертвами GLOBAL GROUP стали 17 организаций, представляющих здравоохранение, машиностроение, нефтегазовую промышленность, автосервис, аварийное восстановление и крупный аутсорсинг бизнес-процессов.
Связь между GLOBAL GROUP, BlackLock и Mamona прослеживается через использование одного и того же российского VPS-провайдера IpServer и сходство исходного кода. Сам вредоносный код GLOBAL GROUP написан на языке Go, как и в BlackLock. По сути, новая платформа является эволюцией Mamona, получившей функции для внедрения по всей доменной сети.
Создание GLOBAL GROUP рассматривается как стратегический шаг со стороны администрации BlackLock — попытка модернизировать свои инструменты, привлечь новых участников и остаться конкурентоспособными. Среди улучшений — поддержка мобильных устройств, генерация кастомизированных шифровальщиков и AI-интеграция в панели.
На фоне появления GLOBAL GROUP платформа Qilin стала самой активной RaaS-группой в июне 2025 года, зафиксировав 81 атаку. Следом идут Akira (34), Play (30), SafePay (27) и DragonForce (25). При этом SafePay демонстрирует заметный спад активности — падение на 62,5%, тогда как DragonForce, напротив, показала рост на 212,5%.
В целом количество атак программ-вымогателей сократилось с 545 в мае до 463 в июне, что составляет снижение на 15%. Однако февраль 2025 года остаётся рекордным — тогда жертвами стали 956 организаций.
Согласно данным Global Threat Intelligence Center компании Optiv, в первом квартале 2025 года на 74 сайтах утечек было опубликовано 314 жертв, что на 213% больше по сравнению с тем же периодом 2024 года. Специалисты отмечают, что злоумышленники по-прежнему используют классические методы проникновения — фишинг, эксплуатацию уязвимостей, взлом открытых сервисов и компрометацию цепочек поставок. Центральную роль играют также посредники, предлагающие готовые точки входа.