مجموعة إمبارجو للفدية تجني 34.2 مليون دولار خلال عام: تي آر إم لابس

سرقت مجموعة برامج الفدية Embargo 34.2 مليون دولار منذ ظهورها في أبريل 2024، مستهدفة ضحايا في قطاعات الرعاية الصحية وخدمات الأعمال والتصنيع، وفقًا لأبحاث TRM Labs.

معظم الضحايا موجودون في الولايات المتحدة، حيث تصل مطالب الفدية إلى 1.3 مليون دولار لكل هجوم.

استهدفت مجموعة الجرائم الإلكترونية أهدافًا كبيرة، بما في ذلك الصيدليات الأمريكية المرتبطة، ومستشفى ميموريال ومانور في جورجيا، ومستشفى وايزر ميموريال في أيداهو.

حددت TRM Labs ما يقرب من 18.8 مليون دولار من أموال الضحايا التي لا تزال خاملة في محافظ غير منسوبة.

الاشتباه في وجود صلة بـ BlackCat

وفقًا لـ TRM Labs، قد تكون Embargo نسخة معاد تسميتها من مجموعة برامج الفدية BlackCat (ALPHV) المنحلة، استنادًا إلى التشابهات التقنية والبنية التحتية المشتركة.

تستخدم كلتا المجموعتين لغة برمجة Rust وتحافظان على تصميمات ووظائف متطابقة تقريبًا لمواقع تسريب البيانات.

كشف التحليل على السلسلة أن العناوين المرتبطة تاريخيًا بـ BlackCat قامت بتوجيه العملات المشفرة إلى مجموعات المحافظ المرتبطة بضحايا Embargo.

تشير الصلة إلى أن مشغلي Embargo ربما ورثوا عملية BlackCat أو تطوروا منها بعد عملية الاحتيال الواضحة في الخروج في عام 2024.

تعمل Embargo وفق نموذج برامج الفدية كخدمة، وتوفر أدوات للشركاء التابعين مع الاحتفاظ بالسيطرة على العمليات الأساسية ومفاوضات الدفع. تتيح هذه البنية التوسع السريع عبر قطاعات ومناطق جغرافية متعددة.

استخدام برامج فدية Embargo لأساليب غسيل متطورة

تستخدم المنظمة منصات خاضعة للعقوبات مثل Cryptex.net، وبورصات عالية المخاطر، ومحافظ وسيطة لغسل العملات المشفرة المسروقة.

بين مايو وأغسطس 2024، راقبت TRM Labs ما يقرب من 13.5 مليون دولار في الإيداعات التي تمت من خلال مختلف مقدمي خدمات الأصول الافتراضية، بما في ذلك أكثر من 1 مليون دولار تم توجيهها عبر Cryptex.net.

تتجنب Embargo الاعتماد الكبير على خلاطات العملات المشفرة، وبدلاً من ذلك تقوم بتنظيم المعاملات عبر عناوين متعددة قبل إيداع الأموال مباشرة في البورصات.

لوحظ أن المجموعة تستخدم خلاط Wasabi في حالات محدودة، مع إيداعين محددين فقط.

يقوم مشغلو برامج الفدية عمداً بوضع الأموال في مراحل مختلفة من عملية الغسيل، على الأرجح لتعطيل أنماط التتبع أو انتظار ظروف مواتية مثل انخفاض اهتمام وسائل الإعلام أو انخفاض رسوم الشبكة.

تستهدف Embargo بشكل خاص منظمات الرعاية الصحية لزيادة النفوذ من خلال تعطيل العمليات.

يمكن أن تؤثر هجمات الرعاية الصحية بشكل مباشر على رعاية المرضى، مع عواقب قد تهدد الحياة، وتخلق ضغطًا لدفع الفدية بسرعة.

تستخدم المجموعة تكتيكات الابتزاز المزدوج - تشفير الملفات مع استخراج البيانات الحساسة. يواجه الضحايا تهديدات بتسريب البيانات أو البيع على الويب المظلم إذا رفضوا الدفع، مما يضاعف الضرر المالي بعواقب تتعلق بالسمعة والتنظيم.