Группа программ-вымогателей Embargo получила 34.2 миллиона долларов в течение года: TRM Labs

Согласно исследованию TRM Labs, группировка программ-вымогателей Embargo похитила 34,2 миллиона $ с момента своего появления в апреле 2024 года, нацеливаясь на жертв в секторах здравоохранения, бизнес-услуг и производства.

Большинство жертв находятся в США, с требованиями выкупа, достигающими 1,3 миллиона $ за атаку.

Киберпреступная группа атаковала крупные цели, включая American Associated Pharmacies, Memorial Hospital and Manor в Джорджии и Weiser Memorial Hospital в Айдахо.

TRM Labs выявила примерно 18,8 миллиона $ средств жертв, которые остаются неактивными в неатрибутированных кошельках.

Подозревается связь с BlackCat

По данным TRM Labs, Embargo может быть ребрендинговой версией несуществующей группы программ-вымогателей BlackCat (ALPHV), основываясь на технических сходствах и общей инфраструктуре.

Обе группы используют язык программирования Rust и поддерживают почти идентичный дизайн и функциональность сайтов утечки данных.

Анализ данных на цепочке показал, что исторически связанные с BlackCat адреса направляли криптовалюту в кластеры кошельков, связанные с жертвами Embargo.

Эта связь предполагает, что операторы Embargo могли унаследовать операцию BlackCat или эволюционировать из нее после очевидного экзит-скама в 2024 году.

Embargo работает по модели программы-вымогателя как услуги, предоставляя инструменты партнерам, сохраняя при этом контроль над основными операциями и переговорами по платежам. Эта структура позволяет быстро масштабироваться в различных секторах и географических регионах.

Использование сложных методов отмывания денег программой-вымогателем Embargo

Организация использует санкционированные платформы, такие как Cryptex.net, высокорисковые биржи и промежуточные кошельки для отмывания украденной криптовалюты.

С мая по август 2024 года TRM Labs отслеживала примерно 13,5 миллиона $ депозитов, сделанных через различных поставщиков услуг виртуальных активов, включая более 1 миллиона $, направленных через Cryptex.net.

Embargo избегает сильной зависимости от миксеров криптовалют, вместо этого наслаивая транзакции через несколько адресов перед прямым депонированием средств на биржи.

Было замечено, что группа использует миксер Wasabi в ограниченных случаях, с только двумя идентифицированными депозитами.

Операторы программ-вымогателей намеренно паркуют средства на различных этапах процесса отмывания, вероятно, чтобы нарушить шаблоны отслеживания или дождаться благоприятных условий, таких как снижение внимания СМИ или более низкие сетевые комиссии.

Embargo специально нацеливается на организации здравоохранения для максимального использования рычагов воздействия через операционные сбои.

Атаки на здравоохранение могут напрямую влиять на уход за пациентами, с потенциально опасными для жизни последствиями, и создавать давление для быстрых выплат выкупа.

Группа использует тактику двойного вымогательства — шифрование файлов при одновременном похищении конфиденциальных данных. Жертвы сталкиваются с угрозами утечки данных или продажи в даркнете, если они отказываются от платежа, усугубляя финансовый ущерб репутационными и нормативными последствиями.