Ransomware Global

Ha inicios del mes de junio se detectado un nuevo grupo de ransomware llamado Global, esta amenaza hasta el momento cuenta con 28 victimas públicas en su sitio de filtraciones. Este ransomware se inclina por atacar victimas que se encuentran dentro de los siguientes sectores empresariales salud, tecnología, manufactura, transporte y servicios empresariales. También se ha monitoreado que Global ataca con más frecuencia a víctimas de Australia, Estados Unidos, Reino Unido, México, Dinamarca y Brasil. 

 

Global utiliza múltiples técnicas y tácticas para atacar a sus víctimas, la forma de ataque de este grupo empieza con la identificación de vulnerables de los sistemas de las victimas mediante escaneos de red, análisis de servicios expuestos y el uso de puertos abiertos. Después encontrar vulnerabilidades utilizan técnicas como phishing, explotación de vulnerabilidades y credenciales filtradas para lograr acceder a la infraestructura de sus víctimas. Tras acceder establecen tácticas y técnicas para generar persistencia como tareas programadas y modificación de tareas del sistema. Luego realizan movimientos laterales dentro de la infraestructura de red interna de sus víctimas para escalar privilegios, durante esta estos movimientos también identifican los sistemas que contienen la información más crítica, como servidores de archivos, bases de datos y respaldos de información, con el único objetivo de comprometerla, cifrarla y después exfiltrarla.  

 

Antes de desplegar el cifrado, extraen grandes volúmenes de datos críticos, los cuales son utilizados para ejercer el método de doble extorsión en donde aparte comprometer la información piden un pago de rescate, para evitar que la información exfiltrada sea publicada en su sitio de filtraciones y desencriptar los archivos de los sistemas. Este método ejercer más presión sobre las víctimas porque los ciberdelincuentes amenazas con publicar la información comprometida y ponerla a la venta.  

 

Sitio de filtraciones del ransomware Global [1] 

Finalmente el grupo dejan una nota de rescate en los sistemas comprometidos de sus víctimas en donde se indican las instrucciones para la negociación y el pago de rescate. 

Toda esta combinación de técnicas sigilosas utilizadas por el ransomware Global, hace que se convierta en una amenaza crítica para cualquier organización o víctima, debido a que comprometen la disponibilidad, confidencialidad y la reputación de sus víctimas. 

 

Nota de rescate del ransomware Global [2] 

 

Todas la técnicas y tácticas que ya se mencionaron son las que comúnmente utiliza esta amenaza, pero es importante mencionar que reciente se ha detectado una nueva táctica que implementan estos ciberdelincuentes, que es la negocias del pago de rescate con inteligencia artificial, en donde básicamente la IA es utilizada para que los actores de amenazas detrás del ransomware se comuniquen con sus victimas sin importar si los idiomas son diferentes. Esto convierte esta amenaza aún más peligrosa porque ahora su campo o radar de victimas aumenta y se vuelve global ya que la IA facilita la comunicación entre los ciberdelincuentes y las víctimas. 

 

También se asociado a esta amenaza con el actor de amenaza “$$$” que es conocido por estar detrás del ransomware BlackLock, pero la operación de los dos ransomware es completamente independiente. Hay similitudes entre las formas de ataques y las vulnerabilidades que explotan para obtener acceso a la infraestructura de las víctimas, pero como ya se mencionó la actividad de los ransomwares son independientes. Algunas de las vulnerabilidades que explota este actor de amenazas son de Fortinet, Palo Alto, Cisco, Microsoft Outlook Web Access, Ivanti Connect Secure, SimpleHelp, Next.js y SAP NetWeaver. 

 

Taxonomía MITRE ATT&CK 

Táctica	ID	Nombre
Initial Access	T1078	Valid Accounts
	T1110	Brute Force
	T1133	External Remote Services
Execution	T1059	PowerShell / shell
Persistence	T1053	Scheduled Task/Job
Privilege Escalation	T1078	Valid Accounts
Defense Evasion	T1027	Obfuscated Files or Information
Exfiltration	T1567	Exfiltration Over Web Service
Impact	T1486	Data Encrypted for Impact
	T1490	Inhibit System Recovery

 

Indicadores de compromiso  

IOC	Tipo
4e01e0eca4d82cbadc70b754a4f9fd3c	FileHash-MD5
e9c298008395e5dc18fbc4f8180dec58	FileHash-MD5
dffec40e5723d9551c848cde5786d379fd734b8e	FileHash-SHA1
a8c28bd6f0f1fe6a9b880400853fc86e46d87b69565ef15d8ab757979cd2cc73	FileHash-SHA256
16bc5adc4f46cdf7c4852d17ebf9f499	FileHash-MD5
2e339540ab604bb0b317fab1e61c99e44c09ce32	FileHash-SHA1
1f6640102f6472523830d69630def669dc3433bbb1c0e6183458bd792d420f8e	FileHash-SHA256
232f86e26ced211630957baffcd36dd3bcd6a786f3d307127e1ea9a8b31c199f	FileHash-SHA256
28f3de066878cb710fe5d44f7e11f65f25328beff953e00587ffeb5ac4b2faa8	FileHash-SHA256
b5e811d7c104ce8dd2509f809a80932540a21ada0ee9e22ac61d080dc0bd237d	FileHash-SHA256

 

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque. 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Kaaviya. (2025, Julio 15). GLOBAL GROUP RAAS operators enable AI-powered negotiation functionality. Cyber Security News. Recuperado el 29 de Julio de 2025, en: https://cybersecuritynews.com/global-group-ai-powered-negotiation/ 
2. The Hacker News. (2025f, Julio 15). Newly Emerged GLOBAL GROUP RaaS Expands Operations with AI-Driven Negotiation Tools. Recuperado el 29 de Julio de 2025, en: https://thehackernews.com/2025/07/newly-emerged-global-group-raas-expands.html 
3. Jovankr. (2025, Julio 22). New GLOBAL GROUP ransomware targets all major operating systems | Digital Watch Observatory. Digital Watch Observatory.  Recuperado el 29 de Julio de 2025, en:https://dig.watch/updates/new-global-group-ransomware-targets-all-major-operating-systems 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios