Embargo ransomwaregroep verdient $34,2 miljoen binnen een jaar: TRM Labs

De Embargo-ransomwaregroep heeft sinds april 2024 $34,2 miljoen gestolen, waarbij slachtoffers in de gezondheidszorg, zakelijke dienstverlening en productiesector werden getroffen, volgens onderzoek van TRM Labs.

De meeste slachtoffers bevinden zich in de VS, met losgeldvragen tot $1,3 miljoen per aanval.

De cybercriminele groep heeft grote doelwitten getroffen, waaronder American Associated Pharmacies, Memorial Hospital and Manor in Georgia, en Weiser Memorial Hospital in Idaho.

TRM Labs identificeerde ongeveer $18,8 miljoen aan slachtoffergelden die inactief blijven in niet-toegewezen wallets.

BlackCat-connectie vermoed

Volgens TRM Labs is Embargo mogelijk een omgedoopte versie van de opgeheven BlackCat (ALPHV) ransomwaregroep, gebaseerd op technische overeenkomsten en gedeelde infrastructuur.

Beide groepen gebruiken de Rust-programmeertaal en handhaven vrijwel identieke datalek-siteontwerpen en functionaliteit.

On-chain analyse onthulde dat historische BlackCat-gelinkte adressen cryptocurrency doorsluisden naar wallet-clusters geassocieerd met Embargo-slachtoffers.

De connectie suggereert dat de operators van Embargo mogelijk de BlackCat-operatie hebben overgenomen of zich daaruit hebben ontwikkeld na de ogenschijnlijke exit-scam in 2024.

Embargo opereert volgens een ransomware-as-a-service model, waarbij tools aan partners worden verstrekt terwijl de controle over kernactiviteiten en betalingsonderhandelingen behouden blijft. Deze structuur maakt snelle opschaling mogelijk over meerdere sectoren en geografische regio's.

Embargo-ransomware's gebruik van geavanceerde witwasmethoden

De organisatie gebruikt gesanctioneerde platforms zoals Cryptex.net, hoog-risico exchanges en tussenliggende wallets om gestolen cryptocurrency wit te wassen.

Tussen mei en augustus 2024 monitorde TRM Labs ongeveer $13,5 miljoen aan stortingen via verschillende virtuele activadienstverleners, waaronder meer dan $1 miljoen die via Cryptex.net werd gerouteerd.

Embargo vermijdt sterke afhankelijkheid van cryptocurrency-mixers, en laagt in plaats daarvan transacties over meerdere adressen voordat fondsen direct bij exchanges worden gestort.

De groep werd waargenomen bij het gebruik van de Wasabi-mixer in beperkte gevallen, met slechts twee geïdentificeerde stortingen.

De ransomware-operators parkeren bewust fondsen in verschillende fasen van het witwasproces, waarschijnlijk om traceerpatronen te verstoren of te wachten op gunstige omstandigheden zoals verminderde media-aandacht of lagere netwerkkosten.

Embargo richt zich specifiek op zorgorganisaties om maximale hefboomwerking te bereiken door operationele verstoring.

Aanvallen op de gezondheidszorg kunnen directe impact hebben op patiëntenzorg, met mogelijk levensbedreigende gevolgen, en creëren druk voor snelle losgeldbetalingen.

De groep gebruikt dubbele afpersingstactieken—bestanden versleutelen terwijl gevoelige gegevens worden ontvreemd. Slachtoffers worden geconfronteerd met dreigingen van datalekken of verkoop op het dark web als ze betaling weigeren, wat financiële schade verergert met reputatie- en regelgevingsgevolgen.