Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
  1. cybercriminels
    >
  2. ランサムウェア・グループ

グローバル・グループ

GLOBAL GROUPは、2025年6月にロシア語を話す既知の脅威アクターによって新たに登場したRansomware-as-a-Service(RaaS)オペレーションであり、AI主導 交渉、モバイルコントロールパネル、およびグローバルな業界全体に急速にリーチを拡大するための積極的なアフィリエイトインセンティブを提供している。

GLOBALのTTPの検知
あなたの組織はグローバル・ランサムウェア攻撃から安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

GLOBALの由来

GLOBAL GROUPは2025年6月2日に初めて観測された新興のRansomware-as-a-Service(RaaS)プラットフォームで、Ramp4uサイバー犯罪フォーラムで「$$」という偽名を使用する脅威行為者によって紹介されました。この脅威者は、Mamona RIPや Black Lock(旧El Dorado)などのランサムウェアを過去に使用した経歴があります。アナリストは、GLOBAL GROUPはBlack Lockの再ブランド化であり、信頼性の再構築とアフィリエイト基盤の拡大を目的としていると、中~高信頼度で評価しています。このグループのインフラは、ロシアのVPSプロバイダー(特にIpServer)を介してホストされており、これは前身のMamona RIPでも使用されていました。

GLOBAL GROUPは、アフィリエイトに最大85%の利益シェアを提供する収益モデルを推進し、モバイルフレンドリーなアフィリエイトパネルを提供し、英語を話さないアフィリエイトのためにAIを搭載した交渉ボットを統合している。そのmalware クロスプラットフォームに対応し(Windows、ESXi、Linux、BSD)、EDR回避機能を誇る。

ソース エクレクティックIQ

グローバル・ランサムウェアの身代金要求書
グローバル・ランサムウェアの身代金要求書

GLOBALの影響を受ける国

確認されている被害者は複数の国にまたがっており、米国、英国、オーストラリア、ブラジルでの活動が目立っている。このようなグローバルな焦点は、高所得でインフラが豊富なターゲットに焦点を当てることで、身代金の可能性を最大化しようとするグループの意図を浮き彫りにしている。

GLOBALがターゲットとする業界

GLOBAL GROUPは、ヘルスケア石油・ガスインダストリアル・エンジニアリング自動車サービスビジネス・プロセス・アウトソーシングに重点を置き、幅広い業界をターゲットとしている。同グループは、汎用環境とVMware ESXiのような仮想化インフラの両方向けにランサムウェアのビルドをカスタマイズしている。

Healthcare

Energy and Utilities

Critical National Infrastructure (CNI)

GLOBALの既知の被害者たち

  • 米国およびオーストラリアの医療従事者
  • 米国テキサス州の石油・ガス機器メーカー
  • イギリスの精密エンジニアリング会社と自動車サービス
  • ブラジルの施設管理BPO企業

同グループはこれまでに30人の犠牲者を出しており、そのうち9人がデビューから5日以内に犠牲になっている。

世界のランサムウェア被害者数
ソース: ランサムウェア.ライブ

攻撃方法

グローバルの攻撃手法

初期アクセス
特権エスカレーション
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

初期アクセスブローカー(IAB)、ブルートフォースVPN、RDWeb、Outlookポータルからアクセスを購入。FortinetPalo AltoCiscoのデバイスを悪用。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ウェブシェルと 有効な認証情報を活用し、ドメインユーザーまたはローカル管理者にアクセスする。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

従来のEDRを回避し、正当な認証情報を使用し、ステルスのためにGolangでコンパイルされたmalware 展開します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

キャッシュされた認証情報を収集し、パスワードの散布を行い、IAB パートナーが提供するカスタムツールを使用します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ドメイン環境のマッピング、ESXiホストの識別、組み込みツールを使用したネットワークの列挙を実行します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

SMB悪意のあるサービスの作成リモートシェルセッションを使用して、環境を横方向に移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

ランサムウェアが展開される前に、法律、金融、医療などの機密データを含むセンシティブなファイルを流出させます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ランサムウェアをエンドポイントとハイパーバイザー間で実行し、Goベースのバイナリを使用してVMを並列に暗号化します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

Torベースのインフラと誤った設定のAPIを使用し、盗まれたデータを保存・管理する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

身代金要求のメモを送りつけ、Tor DLSで公開すると脅し、7桁の支払い(多くは100万ドル以上)を要求する。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

初期アクセスブローカー(IAB)、ブルートフォースVPN、RDWeb、Outlookポータルからアクセスを購入。FortinetPalo AltoCiscoのデバイスを悪用。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

ウェブシェルと 有効な認証情報を活用し、ドメインユーザーまたはローカル管理者にアクセスする。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

従来のEDRを回避し、正当な認証情報を使用し、ステルスのためにGolangでコンパイルされたmalware 展開します。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

キャッシュされた認証情報を収集し、パスワードの散布を行い、IAB パートナーが提供するカスタムツールを使用します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

ドメイン環境のマッピング、ESXiホストの識別、組み込みツールを使用したネットワークの列挙を実行します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

SMB悪意のあるサービスの作成リモートシェルセッションを使用して、環境を横方向に移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

ランサムウェアが展開される前に、法律、金融、医療などの機密データを含むセンシティブなファイルを流出させます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

ランサムウェアをエンドポイントとハイパーバイザー間で実行し、Goベースのバイナリを使用してVMを並列に暗号化します。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

Torベースのインフラと誤った設定のAPIを使用し、盗まれたデータを保存・管理する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

身代金要求のメモを送りつけ、Tor DLSで公開すると脅し、7桁の支払い(多くは100万ドル以上)を要求する。

MITRE ATT&CK マッピング

GLOBALが使用したTTP

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
TA0007: Discovery
T1135
Network Share Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIでグローバルに検知する方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

M365 Malware Stage: Upload

Privilege Anomaly: Unusual Host

SQL Injection Activity

もっと見る
攻撃の危険性を評価する

あなたの組織はグローバル・ランサムウェア攻撃から安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)