在当今数字化和网络化高度发达的时代,网络安全威胁不断演变,勒索软件攻击已成为全球范围内极具破坏力的网络犯罪形式。2025年年中,一个名为GLOBAL GROUP的新兴勒索软件即服务(RaaS)集团引起了全球安全界的广泛关注。该集团不仅凭借其灵活的运营模式迅速渗透多个国家和行业,而且结合了人工智能技术,大幅提升了勒索谈判的效率和成功率,展现出网络犯罪技术的最新发展趋势。 GLOBAL GROUP最早于2025年6月被安全研究人员发现,攻击目标涵盖澳大利亚、巴西、欧洲及美国多个关键行业,包括医疗、石油与天然气设备制造、工业机械及精密工程、汽车维修、事故恢复服务以及大型业务流程外包(BPO)。这种多样化的攻击面不仅暴露了集团针对高价值资产的精准选择,还显示出其抢占全球市场的野心。 这一集团实际上是由此前臭名昭著的BlackLock勒索软件演变而来。
BlackLock本身在经历了数据泄露网站被竞争对手DragonForce勒索集团篡改后,为了重塑形象并加强招募而进行改名。而BlackLock此前又是另一勒索软件项目Eldorado的再品牌。GLOBAL GROUP与其前身之间在代码层面具有极高的相似性,特别是与Mamona勒索软件项目共享同样的俄罗斯虚拟专用服务器(VPS)服务商IpServer,并使用了相似的开源代码基础。 GLOBAL GROUP的运营依赖于初始访问经纪人(IAB)的协助,这些经纪人专门提供企业网络的预先入侵入口。这种合作模式使得集团能够集中资源于勒索软件的部署与谈判阶段,而将网络渗透与前期入侵阶段外包给其他网络犯罪分子,大幅提高了作案效率。入侵手段主要涉及对Cisco、Fortinet及Palo Alto Networks等厂商的边缘设备漏洞的武器化利用,以及对Microsoft Outlook和RDWeb门户的暴力破解攻击。
这些策略反映出现代勒索软件团伙在技术战术上的成熟和多样化。 值得关注的是,GLOBAL GROUP配备了专门设计的谈判门户和联盟面板。谈判门户通过内置的AI驱动聊天机器人实现自动化沟通,有效克服了语言障碍,帮助非英语背景的联盟成员与受害者展开高效、专业的谈判。这种AI集成的设计不仅提升了勒索谈判的成功率,还缩减了人工参与的成本,体现了网络勒索团伙在“技术创新”上的新动向。 联盟面板为附属攻击者提供了管理受害者、构建多平台(包括VMware ESXi、NAS、BSD及Windows系统)勒索软件有效载荷的能力,并可以实时监督攻击流程,极大优化了攻击的组织和执行能力。此外,GLOBAL GROUP采取了极具吸引力的佣金分成模式,向附属成员承诺高达85%的收益,这一高分成策略大大激励了更多网络犯罪分子的加入,帮其迅速扩张规模。
究其背景,GROUP背后的主要操作者被观察到与BlackLock及Mamona项目的管理者为同一群体。据EclecticIQ的研究员Arda Büyükkaya介绍,统辖该系列攻击的黑客角色“$$$”在Ramp4u论坛上积极推销这个新的RaaS产品。他们通过不断演进,将传统勒索软件业务升级,增加了手机友好型控制面板、跨域部署功能以及智能化的谈判系统,以适应日益复杂的网络攻击环境。 在勒索软件全球态势方面,2025年6月最活跃的RaaS团伙是Qilin,受害者数量高达81个。其他备受关注的团体还有Akira、Play、SafePay及迅速崛起的DragonForce。值得一提的是,整体勒索软件受害者数量较5月份有所下降,从545降至463,约15%的减少,然而多变的地缘政治环境及高强度的网络攻击仍然让风险居高不下。
此外,据Optiv全球威胁情报中心(gTIC)统计,2025年第一季度公开泄露的勒索软件受害者人数同比大幅增长213%,显示出勒索软件威胁依然有深化的趋势。攻击手段主要依靠传统且高效的社会工程学钓鱼、漏洞利用、软件暴露端口的攻破、供应链攻击及初始访问经纪人网络。 GLOBAL GROUP的出现透露出网络犯罪生态的一个重要信号:网络黑产正在不断借助人工智能等新兴技术,实现勒索软件业务的高度自动化和智能化。借助AI推动的自动化谈判,不仅有效降低了语言障碍,提高谈判效率,也令勒索活动更加标准化和规模化。对于企业来说,这意味着面对勒索软件攻击时,传统防御手段的压力进一步加大,同时应急响应和谈判策略也迫切需要跟上技术发展的步伐。 从防御角度来看,加强对边缘设备的安全加固尤为重要。
Cisco、Fortinet和Palo Alto Networks等主流安全设备厂商应不断推送补丁和升级安全功能,同时企业需要构建多层次的防护体系,包括加密通信、强身份认证、严密的访问控制以及全面的威胁检测响应机制。此外,鉴于初始访问经纪人在整个攻击链中的关键作用,监控可疑账户和网络入口,及时发现异常访问行为,对防止网络被侵入同样至关重要。 在法律和国际协作层面,针对RaaS平台的打击力度必须加大。以往针对个别勒索软件团伙的追查难度极大,而GLOBAL GROUP等组织采用的多层次代理、智能化运营模式使执法面临更大挑战。跨国合作、情报共享和联合行动将是遏制这类威胁的关键路径。 总体来看,GLOBAL GROUP作为新一代RaaS组织,展示了勒索软件领域技术与商业模式的深度变革。
它不仅通过人工智能实现谈判过程的自动化和多语种支持,也通过完善的操作面板和广泛的联盟网络打造了高效的攻击生态。这种趋向无疑提升了网络犯罪的威胁层级,促使全球安全界必须持续加大对勒索软件技术的研究、防御和响应能力的建设。 展望未来,随着人工智能技术的不断成熟,网络犯罪团伙可能进一步深化自动化攻击,形成更加隐蔽且高效的操作模式。同时,企业和安全机构也需要积极拥抱AI技术,在威胁检测、风险评估和应急响应中发挥更大作用,实现主动防御和攻击溯源。唯有如此,才能在这场网络安全的攻防中占据有利位置,为数字经济的健康发展保驾护航。
