El grupo de ransomware Embargo obtiene 34,2 millones de dólares en un año: TRM Labs

El grupo de ransomware Embargo ha robado $34.2 millones desde su aparición en abril de 2024, atacando a víctimas en los sectores de salud, servicios empresariales y manufactura, según la investigación de TRM Labs.

La mayoría de las víctimas se encuentran en EE.UU., con demandas de rescate que alcanzan hasta $1.3 millones por ataque.

El grupo de ciberdelincuentes ha atacado objetivos importantes, incluyendo American Associated Pharmacies, Memorial Hospital and Manor en Georgia, y Weiser Memorial Hospital en Idaho.

TRM Labs identificó aproximadamente $18.8 millones en fondos de víctimas que permanecen inactivos en cold wallets no atribuidos.

Conexión con BlackCat sospechada

Según TRM Labs, Embargo podría ser una versión renombrada del extinto grupo de ransomware BlackCat (ALPHV), basado en similitudes técnicas e infraestructura compartida.

Ambos grupos utilizan el lenguaje de programación Rust y mantienen diseños y funcionalidades casi idénticos en sus sitios de filtración de datos.

El análisis en cadena reveló que direcciones históricamente vinculadas a BlackCat canalizaron criptomonedas a clusters de wallets asociados con víctimas de Embargo.

La conexión sugiere que los operadores de Embargo pueden haber heredado la operación de BlackCat o evolucionado a partir de ella tras su aparente estafa de salida en 2024.

Embargo opera bajo un modelo de ransomware como servicio, proporcionando herramientas a afiliados mientras mantiene el control sobre las operaciones centrales y las negociaciones de pago. Esta estructura permite un rápido escalamiento a través de múltiples sectores y regiones geográficas.

Uso de métodos sofisticados de lavado por parte del ransomware Embargo

La organización utiliza plataformas sancionadas como Cryptex.net, exchanges de alto riesgo y wallets intermediarios para lavar criptomonedas robadas.

Entre mayo y agosto de 2024, TRM Labs monitoreó aproximadamente $13.5 millones en depósitos realizados a través de varios proveedores de servicios de activos virtuales, incluyendo más de $1 millón enrutado a través de Cryptex.net.

Embargo evita depender en gran medida de mezcladores de criptomonedas, en su lugar estratifica transacciones a través de múltiples direcciones antes de depositar fondos directamente en exchanges.

Se observó que el grupo utilizaba el mezclador Wasabi en casos limitados, con solo dos depósitos identificados.

Los operadores de ransomware deliberadamente estacionan fondos en varias etapas del proceso de lavado, probablemente para interrumpir los patrones de rastreo o esperar condiciones favorables como menor atención mediática o tarifas de red más bajas.

Embargo se dirige específicamente a organizaciones de salud para maximizar el apalancamiento a través de la interrupción operativa.

Los ataques al sector salud pueden impactar directamente en la atención al paciente, con consecuencias potencialmente mortales, y crear presión para pagos rápidos de rescate.

El grupo emplea tácticas de doble extorsión—cifrando archivos mientras exfiltra datos sensibles. Las víctimas enfrentan amenazas de filtraciones de datos o ventas en la dark web si rechazan el pago, agravando el daño financiero con consecuencias reputacionales y regulatorias.