Los investigadores de seguridad cibernética han arrojado luz sobre una nueva operación de ransomware como servicio (RAAS) llamada Global Group que ha atacado a una amplia gama de sectores en Australia, Brasil, Europa y Estados Unidos desde su aparición a principios de 2025. El grupo global fue «promovido en el foro Ramp4u por el actor de amenaza conocido como ‘$$$'», el investigador Eclecticiq Arda B de Rükaya. «El mismo actor controla los Raas Blacklock y las operaciones de ransomware de Mamona previamente administradas». Se cree que Global Group es un cambio de marca de Blacklock después de que el sitio de fuga de datos de este último fue desfigurado por el cartel de ransomware de Dragonforce en marzo. Vale la pena mencionar que Blacklock en sí mismo es un cambio de marca de otro esquema Raas conocido como Eldorado. Se ha encontrado que el grupo de motivación financiera se inclina fuertemente en los corredores de acceso iniciales (IBAB) para implementar el ransomware armando el acceso a los electrodomésticos vulnerables de las redes de Cisco, Fortinet y Palo Alto. También se usan para utilizar la fuerza bruta para los portales de Microsoft Outlook y RDWEB. $$$ ha adquirido el protocolo de escritorio remoto (RDP) o el acceso a las redes corporativas a las redes corporativas, como las relacionadas con las firmas de abogados, como una forma de implementar herramientas posteriores a la explotación, realizar movimiento lateral, datos de sifón e implementar el ransomware. La subcontratación de la fase de infiltración a otros actores de amenaza, que suministran puntos de entrada precompprometidos a redes empresariales, permite a los afiliados gastar sus esfuerzos en la entrega de carga útil, la extorsión y la negociación en lugar de la penetración de la red. La plataforma RAAS viene con un portal de negociación y un panel de afiliados, el último de los cuales permite que los cibercriminales administren víctimas, construyan cargas útiles de ransomware para VMware ESXi, NAS, BSD y Windows, y operaciones de monitor. En un intento por atraer a más afiliados, los actores de amenaza prometen un modelo de intercambio de ingresos del 85%. «El panel de negociación de rescate de Global Group presenta un sistema automatizado impulsado por chatbots impulsados por la IA», dijo la compañía de seguridad holandesa. «Esto permite a los afiliados que no hablan inglés involucran a las víctimas de manera más efectiva». A partir del 14 de julio de 2025, el Grupo RAAS ha reclamado 17 víctimas en Australia, Brasil, Europa y Estados Unidos, que abarca la atención médica, la fabricación de equipos de aceite y gas, la maquinaria industrial y la ingeniería de precisión, la reparación automotriz, los servicios de recuperación de accidentes y la externalización de procesos comerciales a gran escala (BPO). Los enlaces a Blacklock y Mamona provienen del uso del mismo proveedor de VPS ruso ipserver y similitudes de código fuente con Mamona. Específicamente, se dice que Global Group es una evolución de Mamona con características adicionales para habilitar la instalación de ransomware de todo el dominio. Además, el malware también está escrito en GO, al igual que Blacklock. «La creación de Global Group del administrador de Blacklock es una estrategia deliberada para modernizar las operaciones, expandir las fuentes de ingresos y mantenerse competitivo en el mercado de ransomware», dijo Büyükkaya. «Esta nueva marca integra negociación con IA, paneles para dispositivos móviles y constructores de carga útil personalizables, atrayendo a un grupo más amplio de afiliados». La divulgación se produce cuando el Grupo de Ransomware Qilin surgió como la operación RAAS más activa en junio de 2025, representando a 81 víctimas. Otros jugadores principales incluyen Akira (34), Play (30), Safepay (27) y Dragonforce (25). «Safepay vio la disminución más pronunciada del 62.5%, lo que sugiere un retroceso importante», dijo Cyfirma, la compañía de seguridad cibernética. «Dragonforce surgió rápidamente, con ataques que aumentaron en un 212.5%». En total, el número total de víctimas de ransomware ha disminuido de 545 en mayo a 463 en junio de 2025, una disminución del 15%. Febrero encabeza la lista de este año con 956 víctimas. «A pesar de la disminución en los números, las tensiones geopolíticas y los ataques cibernéticos de alto perfil resaltan la creciente inestabilidad, potencialmente aumentando el riesgo de amenazas cibernéticas», señaló NCC Group a fines del mes pasado. Según los datos recopilados por el Centro Global de Inteligencia de Amenazas (GTIC) de Optiv, 314 víctimas de ransomware fueron enumeradas en 74 sitios de fuga de datos únicos en el primer trimestre de 2025, lo que representa un aumento del 213% en el número de víctimas. Se observaron un total de 56 variantes en el primer trimestre de 2024 «. Los operadores de ransomware continuaron utilizando métodos probados y verdaderos para obtener acceso inicial a las víctimas: ingeniería social/phishing, explotación de vulnerabilidades de software, compromiso de software expuesto e inseguro, ataques de cadena de suministro y apalancamiento de la comunidad inicial de accesorios (IAB)», dijo la investigación de Optiv Emily Lee. ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.