Vectra AI 2025 Gartner Ağ Algılama ve Müdahale Sihirli Dörtgeni'nde (NDR) Lider olarak adlandırıldı. >
YENİ

Vectra AI , 2025 Gartner Magic Quadrant Ağ Algılama ve Yanıtlama (NDR) raporunda Lider olarak seçildi. Raporu İndirin. >

Vectra AI(NDR)のマジック・クアドラントにおいてリーダーの1社に
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
  1. cybercriminels
    >
  2. Fidye Yazılım Grubu

GLOBAL GRUP

GLOBAL GROUP, Haziran 2025'te Rusça konuşan bilinen bir tehdit aktörü tarafından başlatılan ve küresel endüstrilerdeki erişimini hızla genişletmek için yapay zeka odaklı müzakere, mobil kontrol panelleri ve agresif ortaklık teşvikleri sunan yeni ortaya çıkan bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonudur.

GLOBAL'in TTP'lerini tespit edin
Kuruluşunuz KÜRESEL Fidye Yazılımı Saldırılarına Karşı Güvende mi?
Arka plan ve hedefler
TTP'ler
MITRE Haritalama
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin
ARKA PLAN
ÜLKELER
ENDÜSTRİLER
KURBANLAR

GLOBAL'in Kökeni

GLOBAL GROUP, ilk olarak 2 Haziran 2025 tarihinde gözlemlenen ve Ramp4u siber suç forumunda"$$$" takma adını kullanan bir tehdit aktörü tarafından tanıtılan yeni bir Hizmet Olarak Fidye Yazılımı (RaaS) platformudur. Aktörün Mamona RIP ve Black Lock (eski adıyla El Dorado) gibi önceki fidye yazılımı türleriyle ilgili bir geçmişi vardır. Analistler, GLOBAL GROUP'un Black Lock'un yeniden markalaşmasını temsil ettiğini, güvenilirliğini yeniden inşa etmeyi ve bağlı kuruluş tabanını genişletmeyi amaçladığını orta ila yüksek güvenle değerlendiriyor. Grubun altyapısı, selefi Mamona RIP tarafından da kullanılan Rus VPS sağlayıcıları (özellikle IpServer) aracılığıyla barındırılıyor.

GLOBAL GROUP, iştiraklere %85'e varan kâr payı sunan, mobil uyumlu bir iştirak paneli sağlayan ve İngilizce konuşmayan iştirakler için yapay zeka destekli müzakere botlarını entegre eden bir gelir modelini teşvik etmektedir. malware çapraz platform yeteneğine sahiptir (Windows, ESXi, Linux, BSD) ve EDR'den kaçınma özelliklerine sahiptir.

Kaynak EclecticIQ

Global Ransomware fidye notu
Global Ransomware fidye notu

GLOBAL'den Etkilenen Ülkeler

Teyit edilen kurbanlar, Amerika Birleşik Devletleri, Birleşik Krallık, Avustralya ve Brezilya'daki kayda değer faaliyetlerle birlikte birçok ülkeye yayılmaktadır. Bu küresel odaklanma, grubun yüksek gelirli, altyapı açısından zengin hedeflere odaklanarak fidye potansiyelini en üst düzeye çıkarma niyetini vurgulamaktadır.

GLOBAL'in Hedeflediği Sektörler

GLOBAL GROUP, sağlık hizmetleri, petrol ve gaz, endüstriyel mühendislik, otomotiv hizmetleri ve iş süreci dış kaynak kullanımına güçlü bir vurgu yaparak çok çeşitli endüstrileri hedeflemektedir. Grup, fidye yazılımı yapılarını hem genel amaçlı ortamlar hem de VMware ESXi gibi sanallaştırılmış altyapılar için uyarlamaktadır.

Healthcare

Energy and Utilities

Critical National Infrastructure (CNI)

GLOBAL'in Bilinen Kurbanları

  • Amerika Birleşik Devletleri ve Avustralya'daki sağlık hizmeti sağlayıcıları
  • Teksas, ABD'de petrol ve gaz ekipmanı üreticileri
  • Birleşik Krallık'ta hassas mühendislik firmaları ve otomotiv hizmetleri
  • Brezilya'daki tesis yönetimi ve BPO şirketleri

Grup, ilk çıkışından sonraki beş gün içinde dokuz kurban da dahil olmak üzere şimdiye kadar 30 kurban aldı; bu da hızlı yayılma ve ölçeklenebilirliğe işaret ediyor.

Küresel Fidye Yazılımı Kurban Sayısı
Kaynak: Ransomware.live

Saldırı Yöntemi

Global'in Saldırı Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Israr ve Savunmadan Kaçınma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

İlk Erişim Aracıları (IAB'ler), kaba kuvvete dayalı VPN'ler, RDWeb ve Outlook portallarından satın alınan erişim. Fortinet, Palo Alto ve Cisco cihazlarını istismar eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Etki alanı kullanıcısı veya yerel yönetici erişimi elde etmek için webshells ve geçerli kimlik bilgilerinden yararlanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Geleneksel EDR'yi atlar, meşru kimlik bilgilerini kullanır ve gizlilik için Golang'da derlenmişmalware dağıtır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Önbelleğe alınmış kimlik bilgilerini toplar, parola püskürtme işlemi gerçekleştirir ve IAB ortakları tarafından sağlanan özel araçları kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Etki alanı ortamlarını eşler, ESXi ana bilgisayarlarını tanımlar ve yerleşik araçları kullanarak ağ numaralandırması gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

SMB, kötü amaçlı hizmet oluşturma ve ortam genelinde uzak kabuk oturumları kullanarak yanal olarak hareket eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Fidye yazılımı dağıtılmadan önce yasal, finansal ve sağlık verileri dahil olmak üzere hassas dosyalara sızar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Go tabanlı ikili dosyaları kullanarak sanal makineleri paralel olarak şifreleyerek uç noktalar ve hipervizörler arasında fidye yazılımı yürütür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Çalınan verileri depolamak ve yönetmek için Tor tabanlı altyapı ve yanlış yapılandırılmış API'ler kullanır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Fidye notları gönderir, Tor DLS'de halka açık sızıntılarla tehdit eder ve genellikle 1 milyon dolar veya daha fazla olmak üzere yedi rakamlı ödemeler talep eder.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

İlk Erişim Aracıları (IAB'ler), kaba kuvvete dayalı VPN'ler, RDWeb ve Outlook portallarından satın alınan erişim. Fortinet, Palo Alto ve Cisco cihazlarını istismar eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Etki alanı kullanıcısı veya yerel yönetici erişimi elde etmek için webshells ve geçerli kimlik bilgilerinden yararlanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Geleneksel EDR'yi atlar, meşru kimlik bilgilerini kullanır ve gizlilik için Golang'da derlenmişmalware dağıtır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Önbelleğe alınmış kimlik bilgilerini toplar, parola püskürtme işlemi gerçekleştirir ve IAB ortakları tarafından sağlanan özel araçları kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Etki alanı ortamlarını eşler, ESXi ana bilgisayarlarını tanımlar ve yerleşik araçları kullanarak ağ numaralandırması gerçekleştirir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

SMB, kötü amaçlı hizmet oluşturma ve ortam genelinde uzak kabuk oturumları kullanarak yanal olarak hareket eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Fidye yazılımı dağıtılmadan önce yasal, finansal ve sağlık verileri dahil olmak üzere hassas dosyalara sızar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Go tabanlı ikili dosyaları kullanarak sanal makineleri paralel olarak şifreleyerek uç noktalar ve hipervizörler arasında fidye yazılımı yürütür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Çalınan verileri depolamak ve yönetmek için Tor tabanlı altyapı ve yanlış yapılandırılmış API'ler kullanır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Fidye notları gönderir, Tor DLS'de halka açık sızıntılarla tehdit eder ve genellikle 1 milyon dolar veya daha fazla olmak üzere yedi rakamlı ödemeler talep eder.

MITRE ATT&CK Haritalama

GLOBAL tarafından kullanılan TTP'ler

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
TA0007: Discovery
T1135
Network Share Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

Vectra AI ile GLOBAL Nasıl Tespit Edilir

Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.

M365 Malware Stage: Upload

Privilege Anomaly: Unusual Host

SQL Injection Activity

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Kuruluşunuz KÜRESEL Fidye Yazılımı Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular