Nel giugno 2025 un attore ransomware noto come $$$ ha presentato sul forum criminale Ramp4u un nuovo marchio, GLOBAL GROUP, promuovendolo come una piattaforma di Ransomware-as-a-Service (RaaS) innovativa e scalabile, con negoziazioni automatizzate, payload multipiattaforma e un sistema di profit-sharing vantaggioso per gli affiliati. Tuttavia, un’analisi forense dei campioni di malware, della configurazione dell’infrastruttura e della logica di controllo rivela che GLOBAL non è affatto nuovo: si tratta della ribrandizzazione di Mamona RIP e Black Lock, due famiglie già note per attacchi su larga scala.
Architettura del payload: Golang e crittografia ChaCha20
Il ransomware GLOBAL GROUP è sviluppato in Golang, una scelta comune tra i criminal hacker per la capacità del linguaggio di offrire concorrenza, static linking e velocità di esecuzione. I binari risultano monolitici e compatibili con Windows, Linux e macOS, supportando così ambienti ibridi. Un dettaglio interessante è la presenza del mutex Global\Fxo16jmdgujs437, identico a quello usato da Mamona RIP, segno evidente di eredità del codice e non di innovazione.
Il sistema di cifratura utilizza l’algoritmo ChaCha20-Poly1305, che garantisce riservatezza e integrità dei dati. L’encryption avviene in modo parallelo su tutti i drive, grazie alle goroutine di Go, e include la possibilità di crittografare i nomi dei file, rendendo il recupero più difficile.
Ransom note e tattiche di doppia estorsione
La nota di riscatto, README.txt, è incorporata direttamente nel binario e contiene le classiche istruzioni di pagamento, la prova di decrittazione e i link ai portali Tor della gang. GLOBAL adotta un approccio dual-portal, con un sito dedicato alla pubblicazione dei dati rubati e un pannello separato per la negoziazione. Quest’ultimo integra un chatbot AI, progettato per gestire automaticamente il dialogo con la vittima, esercitando pressione psicologica e mantenendo alta la probabilità di pagamento anche in assenza di operatori umani.
Vulnerabilità infrastrutturali e errori di OPSEC
Un errore di sicurezza ha rivelato informazioni critiche sull’infrastruttura di GLOBAL: l’endpoint /posts di un’API non protetta ha esposto l’IP reale del server, 193.19.119[.]4, ospitato presso il provider russo IpServer, già collegato a Mamona. Questi dettagli confermano la continuità operativa tra i vecchi gruppi e la nuova entità GLOBAL.
Il builder e il modello RaaS
GLOBAL GROUP offre un builder avanzato agli affiliati, accessibile anche da mobile, che consente di personalizzare i payload scegliendo estensioni dei file, percentuale di cifratura, autodistruzione del malware, terminazione dei processi di sicurezza e cancellazione dei log di Windows. Questo approccio modulare consente di generare binari snelli e difficili da individuare tramite signature tradizionali.
Il builder supporta la compilazione per Windows, Linux, BSD, ESXi e NAS, ampliando le potenziali superfici di attacco, soprattutto nelle infrastrutture virtualizzate.
Tecniche di accesso iniziale e ruolo degli IAB
Come molti gruppi RaaS, GLOBAL si affida agli Initial Access Broker (IAB) per ottenere accessi RDP o VPN alle reti aziendali. Alcuni broker offrono anche tool dedicati al brute-force su sistemi come Fortinet, Palo Alto, Cisco VPN e Microsoft OWA. Questo ecosistema consente al gruppo di scalare gli attacchi con modelli di revenue-sharing e riduzione dei tempi di intrusione.
Indicatori di attribuzione
L’analisi tecnica ha evidenziato vari elementi che riconducono GLOBAL a Mamona e Black Lock:
- Mutex Global\Fxo16jmdgujs437 (riutilizzato da Mamona RIP).
- Server VPS 193.19.119[.]4 (stesso provider).
- Pannello di builder e UI identici.
- Indirizzi Tor hardcoded già presenti nei payload precedenti.
Si tratta quindi di una continuità operativa mascherata da nuovo brand, con l’obiettivo di attrarre nuovi affiliati e mantenere un vantaggio competitivo.
Considerazioni difensive
Le aziende devono rafforzare il monitoraggio dei comportamenti tipici dei ransomware in Go, in particolare:
- Cifratura rapida tramite ChaCha20-Poly1305 e creazione di estensioni personalizzate.
- Uso di utility native di Windows (es.
wevtutil,vssadmin) per cancellare log e shadow copies. - Accessi SSH non autorizzati e movimenti laterali da endpoint non uniti al dominio.
È consigliabile implementare strategie di Breach and Attack Simulation (BAS) per testare l’efficacia delle difese, individuare punti ciechi e adottare misure correttive immediate. La capacità di validare i controlli di sicurezza in scenari reali è essenziale per contrastare gruppi RaaS complessi come GLOBAL GROUP.
