Um novo grupo de cibercriminosos, que afirma ter lançado um novo serviço de ransomware-as-a-service (RaaS), está a recorrer a chatbots de Inteligência Artificial para automatizar as negociações com as vítimas e exercer pressão psicológica para garantir o pagamento dos resgates.
A ameaça surgiu em junho de 2025, quando um agente malicioso, conhecido pelo pseudónimo “$$$”, apresentou publicamente uma nova marca de RaaS chamada GLOBAL GROUP no fórum de cibercrime Russo, o Anonymous Market Place (RAMP).
Após uma investigação forense detalhada, que incluiu a análise de amostras de malware e do comportamento dos atacantes, os investigadores da empresa de cibersegurança Picus Security concluíram que o GLOBAL GROUP não é uma criação original. Em vez disso, num relatório de 21 de julho, a empresa avaliou que se trata de uma reformulação das famílias de ransomware Mamona RIP e Black Lock, apresentando muito poucas funcionalidades novas.
“Em cada camada, seja no payload, na entrega, no controlo ou na operação, o GLOBAL revela continuidade e maturidade em vez de inovação”, escreveram os investigadores.
Um negociador com Inteligência Artificial
Apesar da falta de originalidade técnica, a grande inovação do GLOBAL GROUP reside na utilização de um chatbot com IA para iniciar o processo de negociação com as vítimas. O grupo de ransomware utiliza um modelo de portal duplo, direcionando as vítimas para um site na rede Tor onde expõe os dados roubados e para um painel de negociação separado, uma estrutura que faz lembrar a abordagem do conhecido grupo LockBit.
Ao aceder ao painel de negociação, a vítima é recebida por um chatbot alimentado por IA, projetado para automatizar a comunicação e aumentar a pressão. A interface é simples e pensada para utilizadores sem conhecimentos técnicos, com instruções claras para carregar um ficheiro encriptado e verificar que a sua desencriptação é possível. Toda a comunicação ocorre através de um canal seguro, com um temporizador visível para reforçar o sentimento de urgência.
As transcrições das conversas analisadas pelos especialistas mostram que os criminosos exigem resgates que podem atingir valores de sete dígitos, como um caso analisado que chegou aos 9.5 BTC (cerca de 1 milhão de dólares, ou aproximadamente 930.000 euros, à data da negociação), acompanhados de ameaças crescentes de publicação dos dados.
Técnicas herdadas e pouca inovação
A maioria das técnicas, táticas e procedimentos (TTPs) do GLOBAL GROUP são diretamente herdadas dos grupos Mamona RIP, Black Lock e Lockbit. O grupo utiliza um payload multiplataforma baseado em Golang, aproveitando a eficiência desta linguagem de programação para maximizar a velocidade de encriptação em sistemas Windows, Linux e macOS.
Um dos indícios mais claros da sua origem é a reutilização de uma string de mutex (Global\Fxo16jmdgujs437) vista anteriormente no Mamona RIP, o que sugere uma herança de código e não uma simples reembalagem. Este mutex garante que apenas uma instância do ransomware é executada de cada vez.
Adicionalmente, o grupo utiliza a encriptação ChaCha20-Poly1305, um algoritmo moderno que garante confidencialidade e integridade, e que também é favorecido por grupos como o Black Lock e o LockBit. A nota de resgate, com o nome README.txt, está diretamente integrada no código binário e contém linguagem coerciva para pressionar a vítima.
Uma plataforma de RaaS com falhas de segurança
Apesar da sua aparente sofisticação, o grupo cometeu falhas de segurança operacional que revelaram informações críticas. A exposição da sua API frontal permitiu a fuga de credenciais de acesso SSH do backend e até de endereços IP reais. Estes endereços estão associados ao fornecedor russo de VPS IpServer, a mesma infraestrutura ligada ao grupo Mamona, reforçando a ligação entre ambos.
O construtor do ransomware GLOBAL é uma plataforma RaaS que permite aos seus afiliados gerar payloads personalizados, configurando aspetos como a percentagem de encriptação, as extensões dos ficheiros e comportamentos maliciosos adicionais, como a eliminação de processos e logs.
Esta abordagem modular, que compila as funcionalidades de forma dinâmica, ajuda a evadir a deteção por parte de software de segurança. A capacidade de atacar sistemas ESXi, BSD e dispositivos NAS expande ainda mais o seu alcance, de forma semelhante ao foco do Black Lock em ambientes híbridos.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech