El grupo de ransomware que se hace llamar GLOBAL ha publicado un vídeo promocional que parece más el lanzamiento de un producto SaaS que una amenaza criminal. Con promesas de soporte 24/7, actualizaciones semanales y gestión móvil, el vídeo muestra cómo el ransomware como servicio (RaaS) ha madurado hasta convertirse en un modelo de negocio profesionalizado, al estilo de las franquicias.
Detrás de la elegante marca, el conjunto de funciones de GLOBAL nos dice mucho sobre cómo operan los afiliados y por qué las defensas tradicionales a menudo se quedan cortas. Cada función está cuidadosamente diseñada para acelerar el impacto, reducir la detección y maximizar el pago de rescates.
Alcance y escala de la empresa
Creación multiplataforma: Golpear a la empresa donde más duele
Las empresas no sólo utilizan portátiles Windows. Dependen de servidores Linux para las aplicaciones, hipervisores VMware ESXi para la virtualización y dispositivos NAS/BSD para el almacenamiento. Estas plataformas son fundamentales para la resiliencia, pero también son objetivos atractivos para el ransomware.
El constructor de GLOBAL permite a los afiliados crear paquetes de ransomware para todos ellos en cuestión de minutos. Esto garantiza que las copias de seguridad, el almacenamiento y las máquinas virtuales sean tan vulnerables como los ordenadores de sobremesa. Su objetivo es sencillo: eliminar todas las vías de recuperación. Para los equipos SOC que confían únicamente en las herramientas para puntos finales, la visibilidad de los sistemas ESXi o NAS es casi inexistente, lo que deja expuestas infraestructuras enteras.
Propagación con un solo clic: La velocidad como arma
Un único punto final infectado no garantiza el cobro del rescate. Para obligar a una empresa a pagar, los atacantes necesitan escala y velocidad.
La propagación con un solo clic de GLOBAL automatiza el movimiento lateral, empujando el ransomware a través de una red en cuestión de minutos. Los afiliados no necesitan grandes conocimientos técnicos; la plataforma gestiona la propagación utilizando credenciales robadas y unidades compartidas. Para cuando los defensores detectan actividad inusual en un host, docenas más pueden estar ya cifradas. Las defensas heredadas, como EDR o cortafuegos, rara vez detectan este tipo de tráfico interno con credenciales, lo que permite a los atacantes dejar atrás a los equipos de respuesta.
Modo de montaje: Cifrar más allá del punto final
Los datos críticos de la empresa a menudo viven en unidades de red compartidas montadas en equipos de usuario. Estas unidades no suelen estar protegidas, lo que las convierte en objetivos principales del ransomware.
El modo de montaje de GLOBAL aprovecha esto cifrando los discos remotos desde el punto final infectado. Ningún binario toca nunca el NAS o el servidor de archivos. Para el atacante, esto significa una amplia cobertura sin riesgo añadido. Para los defensores, significa que los EDR nunca ven código malicioso en esos sistemas de almacenamiento, las copias de seguridad se cifran junto con los datos primarios y los SOC tienen poca visibilidad del ataque hasta que es demasiado tarde.
Herramientas de destrucción y evasión
Binarios autoborrables: Borrar las pruebas
Una vez ejecutado, GLOBAL puede borrar su propio binario, sin dejar ningún archivo que los defensores puedan analizar. Esto niega a los equipos SOC pruebas forenses críticas y gana tiempo a los afiliados para reutilizar la misma carga útil en otro lugar. Los antivirus tradicionales, que se basan en firmas, son ciegos una vez que la muestra desaparece.
Borrar registros de sucesos: Cegando a los Defensores
Al borrar los registros de eventos de Windows, GLOBAL elimina el rastro de auditoría del movimiento lateral, la escalada de privilegios o la ejecución de procesos. Los investigadores se quedan con archivos cifrados y sin rastro de cómo se desarrolló el ataque. Las plataformas SIEM que dependen de los registros se vuelven ineficaces cuando esos registros desaparecen en la fuente.
Matar servicios y procesos: Despejando el camino para la encriptación
GLOBAL puede finalizar bases de datos, copias de seguridad y agentes de seguridad de puntos finales antes del cifrado. Esto garantiza un cifrado más fluido, niega opciones de recuperación y silencia las defensas. Aunque los EDR pueden detectar la eliminación masiva de procesos, los atacantes los disfrazan de tareas informáticas rutinarias, mezclándose con el ruido administrativo normal.
Cifrar nombres de archivos e iconos: Marcar el ataque
GLOBAL permite a los afiliados personalizar los archivos cifrados con extensiones como .GLOBAL e iconos con la marca del rescate. No es sólo técnico: es psicológico. Los empleados que abren las carpetas no ven más que archivos renombrados con la marca, lo que refuerza el pánico y la presión. Los antivirus ignoran los cambios cosméticos y muchas herramientas SOC no están preparadas para detectar alteraciones masivas de metadatos.
Modo pánico: Un interruptor de corte para el control
GLOBAL incluye un "modo de pánico" para detener la ejecución al instante. Esto protege a los afiliados si entran en un espacio aislado, se encuentran con defensas reforzadas o fallan en un objetivo. El ransomware desaparece a mitad de la operación, dejando rastros parciales en el mejor de los casos. Los antivirus y los EDR rara vez detectan un ataque que se detiene antes de que se acumule la telemetría.
Tácticas de extorsión y presión
Negociación con IA: Automatización de la conversación sobre el rescate
Negociar el pago de rescates requiere mucho trabajo. GLOBAL lo soluciona con la ayuda de la IA, que guía las conversaciones, adapta las demandas y maximiza los pagos. Los afiliados pueden realizar varias campañas sin tener que hacer malabarismos con los chats. Las víctimas no están hablando con un humano, están negociando con una automatización optimizada para el apalancamiento. Ninguna herramienta heredada puede alterar esta dinámica.
Blog y aplicación móvil: La extorsión al alcance de la mano
Los afiliados de GLOBAL controlan su propio blog de extorsión y pueden gestionar las filtraciones a través de una aplicación móvil. Pueden cargar datos robados, iniciar cuentas atrás y escalar campañas de presión al instante. La doble extorsión se vuelve portátil, permanente e independiente de los operadores centrales. Las defensas tradicionales no ofrecen ninguna prevención en este caso, sólo la supervisión de la información sobre amenazas una vez que las filtraciones se hacen públicas.
Conclusiones: Los defensores deben Match la industrialización del ransomware
GLOBAL ilustra una verdad más amplia: el ransomware ha evolucionado hacia un modelo de servicio industrializado. Los afiliados disponen de automatización, herramientas destructivas y asistencia profesional, mientras que las defensas tradicionales luchan por seguir el ritmo.
Para los defensores, confiar únicamente en EDR, SIEM o copias de seguridad ya no es suficiente. Estas herramientas son importantes, pero las funciones de GLOBAL están diseñadas explícitamente para eludirlas. Para detener el ransomware antes de que comiencen el cifrado y la extorsión, los equipos de los SOC necesitan una visibilidad que abarque la identidad, la red, la cloud y el endpoint, unida a una inteligencia que pueda detectar los comportamientos de los atacantes en tiempo real.
Ahí es donde entra en juego la plataformaVectra AI . Al detectar comportamientos como el movimiento lateral, el uso indebido de credenciales y la actividad de cifrado anormal, Vectra AI ayuda a los equipos SOC a detectar ataques como GLOBAL antes de que aparezca la nota de rescate. Es la capa que faltaba para cerrar las brechas de detección y respuesta que dejan las herramientas tradicionales.
- Lea cómo Vectra AI puede ayudar a su equipo a detener el ransomware en seco.
- Vea la demostración autoguiada de la plataforma Vectra AI .