كشف باحثون في الأمن السيبراني عن عملية جديدة لخدمة الفدية كخدمة (RaaS) تحمل اسم GLOBAL GROUP، استهدفت منذ ظهورها في أوائل يونيو 2025 عددًا واسعًا من القطاعات في أستراليا والبرازيل وأوروبا والولايات المتحدة.
وقال الباحث أردا بيوكّايا من شركة EclecticIQ إن مجموعة GLOBAL GROUP تم الترويج لها في منتدى Ramp4u عبر جهة تهديد تُعرف باسم “$$$“، وهي الجهة ذاتها التي تدير عملية BlackLock للفدية وسابقًا أدارت حملة Mamona.
ويُعتقد أن GLOBAL GROUP ليست سوى عملية إعادة تسمية لـ BlackLock، وذلك بعد أن تم تخريب موقع تسريب البيانات الخاص بها من قِبل كارتل الفدية DragonForce في مارس الماضي. ومن الجدير بالذكر أن BlackLock نفسها كانت إعادة تسمية لحملة سابقة تُدعى Eldorado.
اعتماد على وسطاء الوصول الأولي وأدوات الاختراق
المجموعة التي تحرّكها دوافع مالية تعتمد بشكل كبير على وسطاء الوصول الأولي (IABs) لاختراق الأنظمة، مستغلين نقاط ضعف في أجهزة الحافة التابعة لشركات مثل Cisco وFortinet وPalo Alto Networks. كما تستعين المجموعة بأدوات القوة الغاشمة (Brute-force) لاختراق بوابات Microsoft Outlook وRDWeb.
وقد تمكّنت الجهة المعروفة بـ $$$ من شراء وصول عن بُعد عبر بروتوكول RDP أو web shells لشبكات مؤسسات، بما في ذلك مكاتب محاماة، لتسهيل تنفيذ أدوات ما بعد الاستغلال، والتحرك الأفقي، وسرقة البيانات، وزرع برمجيات الفدية.
نموذج مشاركة الإيرادات ومزايا متقدمة لجذب المهاجمين
اعتماد GLOBAL GROUP على وسطاء الاختراق الخارجيين يتيح للمشتركين في البرنامج التركيز على بناء الحمولات الخبيثة وتنفيذ الابتزاز والتفاوض، دون الحاجة لاختراق الأنظمة بأنفسهم.
تقدم المنصة أدوات كاملة تشمل بوابة تفاوض ولوحة تحكم للشركاء (Affiliates) تتيح إدارة الضحايا، وبناء حمولات فدية مخصصة لأنظمة VMware ESXi وNAS وBSD وWindows، ومراقبة العمليات، مع وعد بتقاسم الأرباح بنسبة 85%.
وقالت شركة أمنية هولندية إن:
“لوحة التفاوض الخاصة بـ GLOBAL GROUP تحتوي على نظام تفاوض مؤتمت مدعوم بروبوتات دردشة بالذكاء الاصطناعي، ما يتيح للمهاجمين غير الناطقين بالإنجليزية التفاعل مع الضحايا بكفاءة أعلى”.
أهداف متعددة وميزات تقنية متطورة
حتى 14 يوليو 2025، تبنّت المجموعة مسؤوليتها عن اختراق 17 ضحية في قطاعات تشمل: الرعاية الصحية، تصنيع معدات النفط والغاز، هندسة الماكينات الدقيقة، إصلاح السيارات، خدمات الإنقاذ من الحوادث، والتعهيد التجاري واسع النطاق (BPO).
وترتبط GLOBAL GROUP بكل من BlackLock وMamona من خلال استخدام مزود الخوادم الروسي IpServer، والتشابه البرمجي مع Mamona، وتُعتبر بمثابة تطوير متقدم لها، مع إضافة ميزات تسمح بتثبيت الفدية على مستوى النطاق. كما أن البرمجية الخبيثة مكتوبة بلغة Go، على غرار BlackLock.
قال بيوكّايا:
“إنشاء GLOBAL GROUP من قِبل مسؤول BlackLock هو استراتيجية مقصودة لتحديث العمليات، وتوسيع مصادر الإيرادات، والبقاء في طليعة سوق الفدية. تتضمن العلامة الجديدة تفاوضًا مدعومًا بالذكاء الاصطناعي، ولوحات تحكم مهيأة للهواتف، ومولدات حمولات قابلة للتخصيص، ما يجذب عددًا أكبر من الشركاء”.
السوق العالمية للفدية: تراجع نسبي ونشاط متنوع
ويأتي هذا الكشف في وقت احتلت فيه مجموعة Qilin المركز الأول كأكثر عملية RaaS نشاطًا في يونيو 2025، بـ 81 ضحية. تليها مجموعات Akira (34)، Play (30)، SafePay (27)، وDragonForce (25).
وقد شهدت SafePay أكبر تراجع بنسبة 62.5%، بينما صعدت DragonForce بنسبة 212.5%، حسب شركة CYFIRMA.
إجمالًا، انخفض عدد ضحايا الفدية من 545 في مايو إلى 463 في يونيو، بنسبة انخفاض تبلغ 15%، بينما يبقى شهر فبراير الأكثر نشاطًا في 2025 بعدد ضحايا بلغ 956.
ورغم هذا الانخفاض، قالت شركة NCC Group إن التوترات الجيوسياسية والهجمات البارزة تثير مخاوف من تصاعد التهديدات.
وفقًا لتقرير مركز المعلومات التهديدية العالمي (gTIC) التابع لشركة Optiv، تم إدراج 314 ضحية في 74 موقع تسريب بيانات خلال الربع الأول من 2025، أي بزيادة 213% مقارنة بالفترة السابقة، حيث تم رصد 56 نوعًا من برمجيات الفدية في الربع الأول من 2024.
قالت الباحثة إيميلي لي من Optiv:
“واصل مشغلو الفدية استخدام الأساليب التقليدية للوصول الأولي إلى الضحايا، مثل الهندسة الاجتماعية والتصيد، واستغلال الثغرات البرمجية، واختراق البرمجيات المكشوفة، وهجمات سلسلة التوريد، إلى جانب الاستعانة بمجتمع وسطاء الوصول الأولي”.
