Вирус‑вымогатель Global Group: как хакеры шифруют компьютеры без интернета

Хакеры научились распространять вирус-вымогатель Global Group через фишинговые письма. Главная фишка — он работает даже на компьютерах без выхода в интернет. Это делает его особенно опасным для компаний с изолированными сетями. Исследователи из Forcepoint X-Labs разобрали, как именно это происходит. Полный отчёт здесь.

Всё начинается с обычного письма с темой "Your Document" ("Ваш документ"). Вложение маскируется под документ, но на самом деле это вредоносный ярлык Windows (.lnk) с двойным расширением вроде "Document.doc.lnk", который обманывает пользователей и запускает заражение.

Когда сотрудник кликает, запускается командная строка. Она незаметно скачивает настоящий вирус под видом системного файла "windrv.exe". Всё происходит тихо, без всплывающих окон.

Обычно вирусы-вымогатели отправляют запросы в интернет, чтобы взять ключ для шифрования у своих создателей. Global Group этого не делает. Он сам создаёт ключ на компьютере жертвы и шифрует файлы алгоритмом, похожим на замок, который невозможно открыть без точного ключа.

Файлы получают расширение ".Reco", а на рабочий стол падает записка с адресом в даркнете. Вирус даже стирает резервные копии и самоуничтожается, чтобы не оставить следов.

Без запросов в интернет многие привычные системы защиты просто не замечают атаку и продолжают работать как обычно. Они ориентируются на подозрительный сетевой трафик, а здесь его почти нет — вирус делает всё локально и не "светится" наружу.

После запуска вредонос добавляет короткую паузу в несколько секунд с помощью простой команды ping и только потом удаляет себя с диска. Это помогает скрыть следы и усложняет разбор инцидента специалистам по безопасности. За счёт такой автономной работы Global Group особенно опасен для закрытых сетей — например, в банках, на заводах или в госучреждениях, где интернет ограничен или полностью отключён.

Global Group — наследник более раннего семейства вымогателей Mamona, с которым его роднит общая техническая база и подход к шифрованию данных. Для доставки заражений группа опирается на ботнет Phorpiex — это сеть уже скомпрометированных машин, существующая с начала 2010‑х годов и долгое время использовавшаяся для рассылки других вымогателей, включая LockBit. По сути, это старая преступная инфраструктура, которой просто «подкрутили» новый набор инструментов и запустили свежую кампанию под брендом Global Group.

Global Group пошёл дальше: их сайт для жертв использует чат-боты на базе ИИ. Бот торгуется сам — давит на сроки, меняет язык общения и пугает утечкой данных. Это экономит время хакеров и делает переговоры эффективнее. Жертвы получают ультиматумы вроде "миллион долларов за 48 часов".

Чтобы снизить риск заражения таким вымогателем, важно не ждать первого инцидента, а подготовиться заранее. Ниже — конкретные шаги, которые можно внедрить уже сейчас, чтобы усложнить жизнь Global Group и похожим атакам.

В первую очередь такие меры — зона ответственности специалистов по информационной безопасности и ИТ‑службы компании, именно они должны выстроить защиту и процессы. Но полагаться только на них нельзя: базовые правила кибергигиены — осторожность с письмами, внимательность к вложениям и понимание последствий — нужны каждому сотруднику, иначе любая технология даёт сбой из‑за одного неосторожного клика.

Истории вроде Global Group показывают, что ставить один антивирус на всех и считать задачу закрытой уже не работает. Вымогатели становятся тише, умнее и автономнее: они шифруют данные без запросов в интернет, скрывают следы и используют ИИ, чтобы выжимать максимум из каждой жертвы.

Ответ на это — многослойная защита: сочетание технических средств (резервные копии, поведенческий анализ, контроль почты и рабочих станций) и осознанного поведения сотрудников. Чем раньше компании перестанут опираться только на периметр и начнут смотреть внутрь своей инфраструктуры, тем меньше шансов, что следующий «тихий» вымогатель парализует бизнес на недели.