Grupo de ransomware Embargo arrecada $34,2m num ano: TRM Labs

O grupo de ransomware Embargo roubou $34,2 milhões desde o seu surgimento em abril de 2024, visando vítimas nos setores de saúde, serviços empresariais e manufatura, de acordo com pesquisa da TRM Labs.

A maioria das vítimas está localizada nos EUA, com exigências de resgate chegando a $1,3 milhão por ataque.

O grupo de cibercrime atingiu alvos importantes, incluindo American Associated Pharmacies, Memorial Hospital and Manor na Geórgia, e Weiser Memorial Hospital em Idaho.

A TRM Labs identificou aproximadamente $18,8 milhões em fundos de vítimas que permanecem inativos em carteiras não atribuídas.

Suspeita de conexão com BlackCat

De acordo com a TRM Labs, o Embargo pode ser uma versão renomeada do extinto grupo de ransomware BlackCat (ALPHV), com base em semelhanças técnicas e infraestrutura compartilhada.

Ambos os grupos usam a linguagem de programação Rust e mantêm designs e funcionalidades de sites de vazamento de dados quase idênticos.

A análise on-chain revelou que endereços historicamente ligados ao BlackCat canalizaram criptomoedas para clusters de carteiras associadas às vítimas do Embargo.

A conexão sugere que os operadores do Embargo podem ter herdado a operação do BlackCat ou evoluído dela após seu aparente golpe de saída em 2024.

O Embargo opera sob um modelo de ransomware-como-serviço, fornecendo ferramentas a afiliados enquanto mantém o controle sobre operações centrais e negociações de pagamento. Esta estrutura permite uma rápida escalabilidade em vários setores e regiões geográficas.

Uso de métodos sofisticados de lavagem pelo ransomware Embargo

A organização usa plataformas sancionadas como Cryptex.net, exchanges de alto risco e carteiras intermediárias para lavar criptomoedas roubadas.

Entre maio e agosto de 2024, a TRM Labs monitorou aproximadamente $13,5 milhões em depósitos feitos através de vários provedores de serviços de ativos virtuais, incluindo mais de $1 milhão roteado através do Cryptex.net.

O Embargo evita forte dependência de mixers de criptomoedas, em vez disso, estratificando transações através de múltiplos endereços antes de depositar fundos diretamente nas exchanges.

Observou-se que o grupo usou o mixer Wasabi em casos limitados, com apenas dois depósitos identificados.

Os operadores de ransomware deliberadamente estacionam fundos em várias etapas do processo de lavagem, provavelmente para interromper padrões de rastreamento ou esperar por condições favoráveis, como menor atenção da mídia ou taxas de rede mais baixas.

O Embargo visa especificamente organizações de saúde para maximizar a alavancagem através da interrupção operacional.

Ataques ao setor de saúde podem impactar diretamente o atendimento ao paciente, com consequências potencialmente fatais, e criar pressão para pagamentos rápidos de resgate.

O grupo emprega táticas de extorsão dupla—criptografando arquivos enquanto exfiltra dados sensíveis. As vítimas enfrentam ameaças de vazamentos de dados ou vendas na dark web se recusarem o pagamento, agravando o dano financeiro com consequências reputacionais e regulatórias.