Una nueva táctica de extorsión ha surgido en el panorama del cibercrimen: un grupo de ransomware recientemente reestructurado, conocido como GLOBAL GROUP, ha comenzado a utilizar chatbots con inteligencia artificial para negociar automáticamente con sus víctimas y aumentar la presión psicológica durante los ataques.

Este grupo, presentado en junio de 2025 por un actor malicioso identificado como “$$$” en el foro ruso RAMP (Russian Anonymous Marketplace), parece ser una nueva imagen de las familias de ransomware Mamona RIP y Black Lock. Según un análisis técnico de la firma Picus Security, GLOBAL GROUP no presenta innovaciones radicales, pero sí una fuerte continuidad en el uso de técnicas, herramientas y estructuras heredadas.

Extorsión impulsada por IA

Lo que realmente distingue a GLOBAL GROUP es su uso de la inteligencia artificial. Cuando las víctimas acceden a su portal de negociación, se encuentran con un chatbot que inicia la conversación. Este sistema está diseñado para usuarios no técnicos, utilizando elementos de presión como temporizadores y la posibilidad de verificar la descifrado de un archivo como “prueba de confianza”.

Las exigencias de rescate pueden ascender hasta cifras millonarias en dólares, y se acompañan de amenazas explícitas de publicación de datos en caso de no recibir respuesta. Este proceso automatizado permite a los afiliados del grupo gestionar las negociaciones sin intervención directa, facilitando operaciones en múltiples zonas horarias e idiomas, y aumentando su alcance.

Tácticas heredadas, capacidades avanzadas

El payload de GLOBAL GROUP está desarrollado en Golang, un lenguaje que permite cifrado concurrente y rápido en sistemas Windows, macOS y Linux. Utiliza el algoritmo ChaCha20-Poly1305, conocido por ofrecer confidencialidad e integridad de los datos.

También reutiliza componentes técnicos de versiones anteriores, como cadenas mutex para asegurar que solo se ejecute una instancia del ransomware, y comparte infraestructura con Mamona RIP. De hecho, Picus Security detectó credenciales expuestas y direcciones IP asociadas a proveedores rusos de VPS ya vinculados con campañas previas.

Plataforma modular para afiliados

El generador de malware de GLOBAL GROUP permite a los afiliados personalizar aspectos como tipos de archivo objetivo, porcentajes de cifrado, eliminación de registros, autoeliminación del malware, entre otros. Además, puede atacar dispositivos ESXi, BSD y NAS, lo que demuestra su capacidad para adaptarse a entornos híbridos. Su enfoque modular y evasivo recuerda al de LockBit, uno de los grupos más sofisticados hasta ahora.

Recomendaciones de seguridad

En su informe, los investigadores de Picus Security recomiendan a las organizaciones implementar medidas preventivas y de respuesta como:

• Monitoreo de comportamientos sospechosos y búsqueda activa de amenazas
• Segmentación de red y restricción de privilegios
• Copias de seguridad periódicas con pruebas de restauración
• Protección de endpoints y actualización de parches
• Vigilancia constante de indicadores de compromiso (IoC)

La integración de inteligencia artificial en ataques de ransomware representa una nueva fase en la evolución del cibercrimen. Las organizaciones deben fortalecer sus defensas para hacer frente a amenazas cada vez más automatizadas, personalizadas y globales.

Fuente: https://www.infosecurity-magazine.com/news/ransomware-ai-chatbot-pressure/