رصد باحثون في مجال الأمن السيبراني عملية هجومية جديدة تستهدف قطاعات متنوعة في أستراليا والبرازيل وأوروبا والولايات المتحدة، تنفذها مجموعة «GLOBAL GROUP» التي ظهرت في المشهد الرقمي مطلع يونيو 2025، باعتبارها واجهة جديدة لعمليات «الفدية كخدمة» (Ransomware-as-a-Service – RaaS).
وقال الباحث أردا بويوك قايا من شركة «EclecticIQ» إن المجموعة جرى الترويج لها على منتدى «Ramp4u» من قبل جهة تهديد تُعرف باسم «$$$»، وهي نفس الجهة التي أدارت سابقاً عمليات «BlackLock» و«Mamona» للبرمجيات الخبيثة.
وتُشير المؤشرات الأولية إلى أن «GLOBAL GROUP» تمثل إعادة تسمية لـ«BlackLock»، وذلك بعد أن تعرض موقع التسريبات التابع لها لهجوم إلكتروني من مجموعة «DragonForce» في مارس الماضي، في وقت كانت «BlackLock» بحد ذاتها إعادة تشكيل لمنصة «Eldorado».
ويعتمد الكيان الجديد على وسطاء الوصول الأوّلي (Initial Access Brokers – IABs)، للحصول على نقاط دخول أولية إلى الشبكات المؤسسية، وذلك من خلال استغلال أجهزة الشبكة الهامشية من شركات مثل «Cisco» و«Fortinet» و«Palo Alto Networks»، إلى جانب استخدام أدوات الهجوم العنيف (Brute-force) ضد بوابات «Microsoft Outlook» ومنصات «RDWeb».
وتشير التقارير إلى أن الجهة المسؤولة تمكنت من الوصول إلى الشبكات باستخدام بروتوكول «RDP» أو أدوات تصفح خبيثة، مستهدفة شبكات لمكاتب محاماة وغيرها، ما مكنها من تنفيذ أنشطة ما بعد الاختراق، والتنقل الأفقي داخل الأنظمة، وسرقة البيانات، وتثبيت برمجيات الفدية.
وتتبع «GLOBAL GROUP» نموذج تشغيل قائم على التعاون مع جهات تهديد أخرى تتولى اختراق الأنظمة، مما يسمح للمجموعة بالتركيز على إنتاج البرمجيات الخبيثة، وابتزاز الضحايا، وإجراء التفاوض.
ويُقدم الكيان منصة متكاملة تشمل بوابة للتفاوض، بالإضافة إلى لوحة تحكم للمشاركين (Affiliates) تتيح بناء برمجيات فدية متوافقة مع «VMware ESXi» وأجهزة التخزين الشبكية وأنظمة «BSD» و«Windows»، إلى جانب مراقبة سير العمليات. وتوفر المنصة حوافز للمستخدمين الجدد من خلال نموذج تشاركي للأرباح بنسبة 85%.
وأكدت شركة هولندية متخصصة في الأمن السيبراني أن «بوابة التفاوض» الخاصة بـ«GLOBAL GROUP» تعتمد على نظام تفاوض آلي مدعوم بروبوتات دردشة قائمة على الذكاء الاصطناعي، مما يتيح للمشاركين غير الناطقين بالإنجليزية التعامل بفعالية مع الضحايا.
وحتى 14 يوليو الجاري، سجلت المنصة 17 ضحية في دول متعددة شملت قطاعات الصحة، وصناعة معدات النفط والغاز، والهندسة الدقيقة، وصيانة المركبات، وخدمات الاستجابة للحوادث، والمقاولات الكبرى في مجالات العمليات الخارجية (BPO).
وتعززت الشكوك حول ارتباط الكيان الجديد بمنصتي «BlackLock» و«Mamona» من خلال استخدام مزوّد الاستضافة الروسي ذاته «IpServer»، وتطابق الشيفرة البرمجية مع برمجيات «Mamona»، إضافة إلى تطوير برمجيات الفدية بلغة «Go»، وهي اللغة ذاتها المستخدمة في «BlackLock».
ويرى الباحث بويوك قايا أن هذه الخطوة تمثل تحولاً استراتيجياً لتوسيع قاعدة الإيرادات، ومواكبة السوق التنافسي، من خلال واجهات مخصصة للأجهزة الذكية، وروبوتات تفاوض، ومُولدات برمجيات مرنة تتيح تخصيص الهجمات.
وتأتي هذه التطورات في وقت تشير فيه البيانات إلى تصدر مجموعة «Qilin» لقائمة أكثر الكيانات نشاطاً في يونيو 2025، بـ81 ضحية، تليها «Akira» (34)، و«Play» (30)، و«SafePay» (27)، و«DragonForce» (25).
وسجلت تقارير شركة «CYFIRMA» تراجعاً في نشاط «SafePay» بنسبة 62.5 في المائة، مقابل قفزة لافتة لـ«DragonForce» بنسبة 212.5 في المائة، فيما انخفض إجمالي عدد الضحايا من 545 في مايو إلى 463 في يونيو، أي بنسبة 15 في المائة، بينما لا يزال فبراير الأعلى تسجيلاً للضحايا بـ956 حالة.
ويشير تحليل شركة «NCC Group» إلى أن التراجع العددي لا يعني انخفاضاً في الخطورة، في ظل تصاعد التوترات الجيوسياسية، وظهور هجمات ذات طابع عالٍ من الخطورة.
وفي الربع الأول من 2025، كشف مركز التهديدات العالمي التابع لشركة «Optiv» عن تسجيل 314 ضحية على 74 موقع تسريب بيانات مختلف، بزيادة بلغت 213 في المائة عن العام السابق، مع رصد 56 سلالة مختلفة من برمجيات الفدية.
وأكدت الباحثة إميلي لي من «Optiv» أن المهاجمين لا يزالون يعتمدون على وسائل تقليدية لاختراق الأنظمة، من بينها الهندسة الاجتماعية، واستغلال الثغرات البرمجية، واستخدام البرمجيات المكشوفة وغير المؤمنة، والهجمات على سلاسل الإمداد، والاستعانة بجهات التهديد المتخصصة في الوصول الأوّلي.
