Le groupe de ransomware Embargo récolte 34,2 millions de dollars en un an : TRM Labs

Le groupe de ransomware Embargo a volé 34,2 millions de dollars depuis son apparition en avril 2024, ciblant des victimes dans les secteurs de la santé, des services aux entreprises et de la fabrication, selon les recherches de TRM Labs.

La plupart des victimes sont situées aux États-Unis, avec des demandes de rançon atteignant jusqu'à 1,3 million de dollars par attaque.

Le groupe cybercriminel a frappé des cibles majeures, notamment American Associated Pharmacies, Memorial Hospital and Manor en Géorgie, et Weiser Memorial Hospital dans l'Idaho.

TRM Labs a identifié environ 18,8 millions de dollars de fonds des victimes qui restent dormants dans des portefeuilles non attribués.

Connexion avec BlackCat suspectée

Selon TRM Labs, Embargo pourrait être une version rebaptisée du défunt groupe de ransomware BlackCat (ALPHV), sur la base de similitudes techniques et d'infrastructures partagées.

Les deux groupes utilisent le langage de programmation Rust et maintiennent des conceptions et fonctionnalités de sites de fuite de données presque identiques.

L'analyse on-chain a révélé que des adresses historiquement liées à BlackCat ont acheminé des cryptomonnaies vers des clusters de portefeuilles associés aux victimes d'Embargo.

Cette connexion suggère que les opérateurs d'Embargo pourraient avoir hérité de l'opération BlackCat ou en avoir évolué suite à son apparent exit scam en 2024.

Embargo opère selon un modèle de ransomware-as-a-service, fournissant des outils aux affiliés tout en conservant le contrôle sur les opérations principales et les négociations de paiement. Cette structure permet une mise à l'échelle rapide à travers de multiples secteurs et régions géographiques.

Utilisation par Embargo de méthodes sophistiquées de blanchiment

L'organisation utilise des plateformes sanctionnées comme Cryptex.net, des échanges à haut risque et des portefeuilles intermédiaires pour blanchir les cryptomonnaies volées.

Entre mai et août 2024, TRM Labs a surveillé environ 13,5 millions de dollars de dépôts effectués via divers fournisseurs de services d'actifs virtuels, dont plus d'un million de dollars acheminés via Cryptex.net.

Embargo évite de s'appuyer fortement sur les mixeurs de cryptomonnaies, préférant superposer les transactions à travers de multiples adresses avant de déposer les fonds directement dans les échanges.

Le groupe a été observé utilisant le mixeur Wasabi dans des cas limités, avec seulement deux dépôts identifiés.

Les opérateurs de ransomware immobilisent délibérément des fonds à diverses étapes du processus de blanchiment, probablement pour perturber les modèles de traçage ou attendre des conditions favorables telles qu'une attention médiatique réduite ou des frais de réseau plus bas.

Embargo cible spécifiquement les organisations de santé pour maximiser son effet de levier par la perturbation opérationnelle.

Les attaques contre les établissements de santé peuvent avoir un impact direct sur les soins aux patients, avec des conséquences potentiellement mortelles, et créer une pression pour des paiements rapides de rançon.

Le groupe emploie des tactiques de double extorsion—chiffrant les fichiers tout en exfiltrant des données sensibles. Les victimes sont confrontées à des menaces de fuites de données ou de ventes sur le dark web si elles refusent le paiement, aggravant les dommages financiers par des conséquences réputationnelles et réglementaires.