Il Gruppo Ransomware Embargo Incassa $34.2m in un Anno: TRM Labs GPT:

Il gruppo ransomware Embargo ha rubato $34,2 milioni da aprile 2024, prendendo di mira vittime nei settori sanitario, dei servizi aziendali e manifatturiero, secondo la ricerca di TRM Labs.

La maggior parte delle vittime si trova negli Stati Uniti, con richieste di riscatto che raggiungono fino a $1,3 milioni per attacco.

Il gruppo di cybercriminali ha colpito obiettivi importanti, tra cui American Associated Pharmacies, Memorial Hospital and Manor in Georgia e Weiser Memorial Hospital in Idaho.

TRM Labs ha identificato circa $18,8 milioni in fondi delle vittime che rimangono inattivi in wallet non attribuiti.

Sospetta Connessione con BlackCat

Secondo TRM Labs, Embargo potrebbe essere una versione rinominata del defunto gruppo ransomware BlackCat (ALPHV), basandosi su somiglianze tecniche e infrastrutture condivise.

Entrambi i gruppi utilizzano il linguaggio di programmazione Rust e mantengono design e funzionalità quasi identici nei siti di fuga di dati.

L'analisi on-chain ha rivelato che indirizzi storicamente collegati a BlackCat hanno convogliato criptovaluta a cluster di wallet associati alle vittime di Embargo.

La connessione suggerisce che gli operatori di Embargo potrebbero aver ereditato l'operazione BlackCat o essersi evoluti da essa dopo la sua apparente truffa d'uscita nel 2024.

Embargo opera secondo un modello ransomware-as-a-service, fornendo strumenti agli affiliati mentre mantiene il controllo sulle operazioni principali e le negoziazioni di pagamento. Questa struttura consente una rapida scalabilità in più settori e regioni geografiche.

Utilizzo di Metodi Sofisticati di Riciclaggio da Parte del Ransomware Embargo

L'organizzazione utilizza piattaforme sanzionate come Cryptex.net, exchange ad alto rischio e wallet intermediari per riciclare criptovalute rubate.

Tra maggio e agosto 2024, TRM Labs ha monitorato circa $13,5 milioni in depositi effettuati attraverso vari fornitori di servizi di asset virtuali, inclusi più di $1 milione instradati attraverso Cryptex.net.

Embargo evita di fare forte affidamento sui mixer di criptovalute, stratificando invece le transazioni su più indirizzi prima di depositare i fondi direttamente negli exchange.

È stato osservato che il gruppo utilizza il mixer Wasabi in casi limitati, con solo due depositi identificati.

Gli operatori del ransomware parcheggiano deliberatamente i fondi in varie fasi del processo di riciclaggio, probabilmente per interrompere i modelli di tracciamento o attendere condizioni favorevoli come una ridotta attenzione mediatica o commissioni di rete più basse.

Embargo prende di mira specificamente le organizzazioni sanitarie per massimizzare la leva attraverso l'interruzione operativa.

Gli attacchi sanitari possono avere un impatto diretto sull'assistenza ai pazienti, con conseguenze potenzialmente letali, e creare pressione per pagamenti rapidi del riscatto.

Il gruppo impiega tattiche di doppia estorsione—cifrando i file mentre esfiltrano dati sensibili. Le vittime affrontano minacce di fughe di dati o vendite sul dark web se rifiutano il pagamento, aggravando il danno finanziario con conseguenze reputazionali e normative.