在一个不久前的网络空间事件中，全球网络安全分析机构EclecticIQ于2025年6月2日首次发现了名为GLOBAL GROUP的新兴勒索软件即服务（Ransomware-as-a-Service，RaaS）品牌。这一组织由一名以“$$$”为代号的俄罗斯威胁行为者所领导，似乎是对早期Mamona和Black Lock操作的重组和再品牌化，旨在重新建立信任并扩大其附属网络。GLOBAL GROUP的出现，标志着这一类型网络犯罪组织的进一步演化，配备了 AI 驱动的谈判系统 和移动端控制面板，从而为其附属成员提供了更高效的作业工具。

“$$$”发布的信息表明，尽管GROUP尚未全面运作，但其仍不遗余力地在Ramp4u论坛上吸引更多附属者，并提供高达80%的勒索金提成，成为行业内主要竞争者。GLOBAL GROUP的重要特点之一是它在Tor网络上运营的专用数据泄露网站，该网站列出了一系列已确认的受害者，包括美国和澳大利亚的医疗服务提供商以及英国的一家汽车服务公司。分析显示，该组织倾向于采购脆弱系统的初始访问权限，通过与初始访问代理（IABs）的合作来获取对Fortinet，Palo Alto和Cisco等边缘设备的访问权限。

GLOBAL GROUP的技术特点包括对Microsoft Outlook和RDWeb门户的暴力破解工具，借此实现高特权的初始访问和快速的勒索软件部署，往往能绕过传统的EDR（端点检测与响应）解决方案。分析人员注意到，GLOBAL GROUP的勒索谈判面板中集成了一套自动化系统，由AI驱动的聊天机器人使非英语母语的附属成员能更有效地与受害者进行交流。这一功能不仅增强了谈判的心理压力，也方便组织要求七位数的赎金，对解密密钥的获取进行威逼。

在全球首次活动的五天内，GLOBAL GROUP就已声称对17个受害者负责，覆盖多个国家和行业。大多数受害者来自医疗行业，分布于美国和澳大利亚等多个地区。这显示出其广泛的地域覆盖与行业目标，包括美国的医疗服务提供商、英国的汽车维修服务、以及巴西的大规模业务流程外包和设施管理服务。

在运作的技术基础上，分析人员强烈怀疑GLOBAL GROUP与早已终结的Mamona RIP勒索软件操作存在高度关联。该组织重用了相同的基础设施，并在识别过程中不小心暴露了API的真实IP地址，这一接口返回的JSON元数据揭示了真实的托管环境，表明受害者数据存储在一个配置错误的系统中，通过互联网可接触。

考虑到GLOBAL GROUP的战略与技术，分析师评估该组织是一项针对重要基础设施和大型企业的威胁，这使得其成为了网络犯罪领域的重要参与者。其通过专门的AI谈判功能和移动友好的面板吸引附属者，展现了勒索软件产业链的盈利模式不断现代化。这不仅是对传统RaaS模型的挑战，也为网络犯罪界带来了更高效的攻防策略。

GLOBAL GROUP还利用各种通道获得初步进入目标网络的途径，包括购买远程桌面协议（RDP）和虚拟私人网络（VPN）凭证、Webshell访问企业应用程序等。这使勒索软件得以绕过周边防御、继承域权限，从而实现快速横向移动。这种多样化的攻击方法，对关键基础设施构成了现实的威胁，使得未来的防控措施需要更加谨慎和严密。

在更新这一动力迅速的攻击策略时，网络安全防御机构需要特别关注与初始访问经纪人的链接交易，加强风控，确保基础设施的安全监控。在此背景下，保留可执行的回溯协调机制与实时的威胁智能集成，就显得尤为重要。随着这样的勒索软件模型继续进化，决策层需意识到这一犯罪行为的复杂性以及其对全球网络安全的影响。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！