Grupa ransomware Embargo zdobywa 34,2 mln dolarów w ciągu roku: TRM Labs

Według badań TRM Labs, grupa ransomware Embargo skradła 34,2 miliona dolarów od momentu pojawienia się w kwietniu 2024 roku, atakując ofiary z sektorów opieki zdrowotnej, usług biznesowych i produkcyjnego.

Większość ofiar znajduje się w USA, a żądania okupu sięgają nawet 1,3 miliona dolarów za atak.

Grupa cyberprzestępcza uderzyła w ważne cele, w tym American Associated Pharmacies, Memorial Hospital and Manor w Georgii oraz Weiser Memorial Hospital w Idaho.

TRM Labs zidentyfikowało około 18,8 miliona dolarów środków ofiar, które pozostają nieaktywne w nieprzypisanych portfelach.

Podejrzewany związek z BlackCat

Według TRM Labs, Embargo może być przemianowaną wersją nieistniejącej już grupy ransomware BlackCat (ALPHV), na podstawie podobieństw technicznych i wspólnej infrastruktury.

Obie grupy używają języka programowania Rust i utrzymują niemal identyczne projekty i funkcjonalność witryn do wycieku danych.

Analiza łańcucha bloków ujawniła, że historyczne adresy powiązane z BlackCat przekazywały kryptowaluty do klastrów portfeli związanych z ofiarami Embargo.

Powiązanie sugeruje, że operatorzy Embargo mogli przejąć operację BlackCat lub ewoluować z niej po jej pozornym oszustwie wyjścia w 2024 roku.

Embargo działa w modelu ransomware-jako-usługa, dostarczając narzędzia partnerom, jednocześnie zachowując kontrolę nad kluczowymi operacjami i negocjacjami płatności. Ta struktura umożliwia szybkie skalowanie w wielu sektorach i regionach geograficznych.

Wykorzystanie zaawansowanych metod prania pieniędzy przez ransomware Embargo

Organizacja wykorzystuje objęte sankcjami platformy, takie jak Cryptex.net, giełdy wysokiego ryzyka i portfele pośredniczące do prania skradzionej kryptowaluty.

Między majem a sierpniem 2024 roku, TRM Labs monitorowało około 13,5 miliona dolarów w depozytach dokonanych za pośrednictwem różnych dostawców usług wirtualnych aktywów, w tym ponad 1 milion dolarów przekierowanych przez Cryptex.net.

Embargo unika silnego polegania na mikserach kryptowalut, zamiast tego warstwując transakcje przez wiele adresów przed bezpośrednim wpłacaniem środków na giełdy.

Zaobserwowano, że grupa używa miksera Wasabi w ograniczonych przypadkach, z tylko dwoma zidentyfikowanymi depozytami.

Operatorzy ransomware celowo parkują środki na różnych etapach procesu prania pieniędzy, prawdopodobnie aby zakłócić wzorce śledzenia lub czekać na korzystne warunki, takie jak zmniejszona uwaga mediów lub niższe opłaty sieciowe.

Embargo celowo atakuje organizacje opieki zdrowotnej, aby zmaksymalizować presję poprzez zakłócenie operacyjne.

Ataki na służbę zdrowia mogą bezpośrednio wpływać na opiekę nad pacjentami, z potencjalnie zagrażającymi życiu konsekwencjami, i tworzyć presję na szybkie płatności okupu.

Grupa stosuje taktykę podwójnego wymuszenia – szyfrując pliki przy jednoczesnym wykradaniu wrażliwych danych. Ofiary stają w obliczu gróźb wycieku danych lub sprzedaży w dark webie, jeśli odmówią zapłaty, co potęguje szkody finansowe konsekwencjami reputacyjnymi i regulacyjnymi.