Tại sao GLOBAL GROUP lại thu hút nhiều đối tác tội phạm mạng đến vậy?

[CyberThao]

Một nhóm tội phạm mạng mới đang gây chú ý với hoạt động ransomware-as-a-service (RaaS) mang tên GLOBAL GROUP, nhắm vào nhiều lĩnh vực khác nhau tại Úc, Brazil, châu Âu và Hoa Kỳ. Nhóm này được phát hiện lần đầu vào đầu tháng 6 năm 2025 và được giới thiệu trên diễn đàn Ramp4u bởi một cá nhân sử dụng biệt danh "$$$" – người từng điều hành BlackLock RaaS và trước đó là ransomware Mamona.
Các nhà nghiên cứu từ EclecticIQ cho rằng GLOBAL GROUP thực chất là một phiên bản mới của BlackLock, được ra đời sau khi trang web rò rỉ dữ liệu của BlackLock bị nhóm ransomware DragonForce tấn công vào tháng 3. Điều đáng chú ý là BlackLock trước đó cũng chỉ là một “thương hiệu mới” của chương trình RaaS Eldorado, cho thấy sự thay đổi chiến lược để che giấu danh tính và tái định vị hoạt động tội phạm mạng.

Cách thức hoạt động và công nghệ hỗ trợ​

GLOBAL GROUP vận hành với động cơ tài chính rõ ràng, sử dụng các nhà môi giới truy cập ban đầu (IAB) để xâm nhập hệ thống doanh nghiệp. Nhóm khai thác lỗ hổng trong các thiết bị biên của Cisco, Fortinet và Palo Alto Networks, đồng thời tấn công brute-force vào cổng Microsoft Outlook và RDWeb. Một số quyền truy cập được mua thông qua giao thức RDP hoặc shell web, đặc biệt trong các mạng của công ty luật.
Thay vì tự thực hiện toàn bộ quá trình xâm nhập, GLOBAL GROUP thuê ngoài giai đoạn này cho các tác nhân đe dọa khác, cho phép các chi nhánh tập trung vào các bước sau như trích xuất dữ liệu, mã hóa, tống tiền và đàm phán.

Điểm đặc biệt của nền tảng RaaS này là tích hợp cổng đàm phán tiền chuộc sử dụng chatbot AI, giúp các chi nhánh không nói tiếng Anh vẫn giao tiếp hiệu quả với nạn nhân. Hệ thống còn bao gồm bảng điều khiển liên kết cho phép quản lý nạn nhân, xây dựng gói ransomware dành cho nhiều nền tảng như VMware ESXi, NAS, BSD và Windows. Mô hình chia sẻ doanh thu lên tới 85% được đưa ra để thu hút thêm đối tác.
Tính đến ngày 14/7/2025, GLOBAL GROUP đã công bố 17 nạn nhân thuộc các lĩnh vực như chăm sóc sức khỏe, sản xuất thiết bị dầu khí, kỹ thuật chính xác, sửa chữa ô tô và gia công quy trình kinh doanh (BPO). Mã độc của nhóm này được viết bằng ngôn ngữ Go – tương tự BlackLock – và có khả năng triển khai ransomware trên toàn miền, cho thấy đây là phiên bản nâng cấp từ Mamona.

Thị trường ransomware vẫn biến động​

Việc GLOBAL GROUP ra đời được đánh giá là nỗ lực hiện đại hóa hoạt động và mở rộng nguồn thu giữa lúc cạnh tranh gay gắt. Ngoài bảng điều khiển thân thiện với thiết bị di động, nhóm còn cung cấp trình tạo mã độc tuỳ chỉnh – giúp thu hút nhiều đối tượng hơn tham gia mạng lưới.
Trong khi đó, báo cáo từ nhiều công ty bảo mật cho thấy thị trường ransomware vẫn đang biến động. Nhóm Qilin là tổ chức RaaS hoạt động mạnh nhất tháng 6/2025 với 81 nạn nhân, tiếp theo là Akira (34), Play (30), SafePay (27) và DragonForce (25). SafePay giảm mạnh tới 62,5%, trong khi DragonForce tăng đột biến 212,5%.
Dù tổng số nạn nhân ransomware đã giảm từ 545 trong tháng 5 xuống còn 463 trong tháng 6/2025 (giảm 15%), các chuyên gia từ NCC Group cảnh báo rằng căng thẳng địa chính trị cùng các cuộc tấn công nghiêm trọng cho thấy nguy cơ vẫn rất cao.
Thống kê từ Trung tâm Tình báo Đe dọa Toàn cầu (gTIC) của Optiv ghi nhận trong quý 1 năm 2025, có 314 nạn nhân bị liệt kê trên 74 trang rò rỉ dữ liệu – tăng 213% so với trước đó. Tổng cộng có 56 biến thể ransomware được phát hiện trong quý 1 năm 2024.
Emily Lee – nhà nghiên cứu tại Optiv – nhận định: “Các nhóm ransomware vẫn tiếp tục dựa vào những phương thức quen thuộc như lừa đảo, khai thác phần mềm dễ bị tấn công và lợi dụng mạng lưới môi giới truy cập ban đầu (IAB).”
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/newly-emerged-global-group-raas-expands.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview