Hackers Distribuem Ransomware Global Group Offline Através de Phishing

A Forcepoint X-Labs descobriu que a botnet Phorpiex está distribuindo o ransomware Global Group, um sucessor do Mamona, por meio de phishing emails contendo arquivos .lnk disfarçados de documentos. O ataque utiliza técnicas living-off-the-land, empregando PowerShell e Command Prompt para a entrega do payload.

O ransomware opera em um modo silencioso que gera chaves de criptografia localmente com ChaCha20-Poly1305, sem a necessidade de contato com um servidor C2. Isso permite a criptografia de arquivos em máquinas offline e a evasão da detecção baseada em rede. Após a criptografia, o malware se autoexclui, destrói Cópias de Sombra de Volume e adiciona a extensão .reco aos arquivos bloqueados, deixando mínimos artefatos forenses.