Kelompok ransomware Embargo meraup $34.2 juta dalam setahun: TRM Labs

Kelompok ransomware Embargo telah mencuri $34,2 juta sejak muncul pada April 2024, menargetkan korban di sektor kesehatan, layanan bisnis, dan manufaktur, menurut penelitian TRM Labs.

Sebagian besar korban berada di A.S., dengan tuntutan tebusan mencapai hingga $1,3 juta per serangan.

Kelompok kejahatan siber ini telah menyerang target-target besar, termasuk American Associated Pharmacies, Memorial Hospital and Manor di Georgia, dan Weiser Memorial Hospital di Idaho.

TRM Labs mengidentifikasi sekitar $18,8 juta dana korban yang tetap tidak aktif di dompet yang tidak teridentifikasi.

Dugaan koneksi dengan BlackCat

Menurut TRM Labs, Embargo mungkin merupakan versi rebranding dari kelompok ransomware BlackCat (ALPHV) yang sudah tidak aktif, berdasarkan kesamaan teknis dan infrastruktur bersama.

Kedua kelompok menggunakan bahasa pemrograman Rust dan mempertahankan desain serta fungsionalitas situs kebocoran data yang hampir identik.

Analisis on-chain mengungkapkan bahwa alamat terkait BlackCat historis menyalurkan cryptocurrency ke kluster dompet yang terkait dengan korban Embargo.

Koneksi ini menunjukkan bahwa operator Embargo mungkin telah mewarisi operasi BlackCat atau berkembang darinya setelah penipuan exit scam yang tampak pada 2024.

Embargo beroperasi dengan model ransomware-as-a-service, menyediakan alat untuk afiliasi sambil mempertahankan kontrol atas operasi inti dan negosiasi pembayaran. Struktur ini memungkinkan penskalaan cepat di berbagai sektor dan wilayah geografis.

Penggunaan metode pencucian canggih oleh ransomware Embargo

Organisasi ini menggunakan platform yang disanksi seperti Cryptex.net, pertukaran berisiko tinggi, dan dompet perantara untuk mencuci cryptocurrency yang dicuri.

Antara Mei dan Agustus 2024, TRM Labs memantau sekitar $13,5 juta dalam deposito yang dilakukan melalui berbagai penyedia layanan aset virtual, termasuk lebih dari $1 juta yang dialihkan melalui Cryptex.net.

Embargo menghindari ketergantungan berat pada mixer cryptocurrency, sebagai gantinya melakukan pelapisan transaksi di berbagai alamat sebelum menyetor dana langsung ke pertukaran.

Kelompok ini diamati menggunakan mixer Wasabi dalam kasus terbatas, dengan hanya dua deposito yang teridentifikasi.

Operator ransomware sengaja memarkir dana di berbagai tahap proses pencucian, kemungkinan untuk mengganggu pola pelacakan atau menunggu kondisi yang menguntungkan seperti berkurangnya perhatian media atau biaya jaringan yang lebih rendah.

Embargo secara khusus menargetkan organisasi kesehatan untuk memaksimalkan pengaruh melalui gangguan operasional.

Serangan terhadap layanan kesehatan dapat berdampak langsung pada perawatan pasien, dengan konsekuensi yang berpotensi mengancam jiwa, dan menciptakan tekanan untuk pembayaran tebusan yang cepat.

Kelompok ini menggunakan taktik pemerasan ganda—mengenkripsi file sambil mengeksfiltasi data sensitif. Korban menghadapi ancaman kebocoran data atau penjualan di dark web jika mereka menolak pembayaran, memperparah kerusakan finansial dengan konsekuensi reputasi dan regulasi.