Група програм-вимагачів Embargo отримала 34,2 млн доларів протягом року: TRM Labs

За даними дослідження TRM Labs, група програм-вимагачів Embargo викрала $34,2 мільйона з моменту своєї появи у квітні 2024 року, націлюючись на жертв у секторах охорони здоров'я, бізнес-послуг та виробництва.

Більшість жертв знаходяться в США, з вимогами викупу до $1,3 мільйона за кожну атаку.

Група кіберзлочинців атакувала великі цілі, включаючи American Associated Pharmacies, Memorial Hospital and Manor у Джорджії та Weiser Memorial Hospital в Айдахо.

TRM Labs виявила приблизно $18,8 мільйона коштів жертв, які залишаються неактивними в неатрибутованих гаманцях.

Підозрюється зв'язок з BlackCat

За даними TRM Labs, Embargo може бути ребрендованою версією неіснуючої групи програм-вимагачів BlackCat (ALPHV), базуючись на технічних подібностях та спільній інфраструктурі.

Обидві групи використовують мову програмування Rust і підтримують майже ідентичний дизайн та функціональність сайтів витоку даних.

Ончейн аналіз виявив, що історичні адреси, пов'язані з BlackCat, перенаправляли криптовалюту до кластерів гаманців, пов'язаних з жертвами Embargo.

Цей зв'язок свідчить про те, що оператори Embargo могли успадкувати операцію BlackCat або еволюціонувати з неї після її очевидного вихідного шахрайства у 2024 році.

Embargo працює за моделлю програми-вимагача як послуги, надаючи інструменти партнерам, зберігаючи при цьому контроль над основними операціями та переговорами щодо оплати. Ця структура дозволяє швидко масштабуватися в різних секторах та географічних регіонах.

Використання складних методів відмивання грошей програмою-вимагачем Embargo

Організація використовує санкціоновані платформи, такі як Cryptex.net, біржі з високим ризиком та проміжні гаманці для відмивання викраденої криптовалюти.

Між травнем та серпнем 2024 року TRM Labs відстежила приблизно $13,5 мільйона депозитів, здійснених через різних постачальників послуг віртуальних активів, включаючи понад $1 мільйон, спрямований через Cryptex.net.

Embargo уникає сильної залежності від міксерів криптовалют, натомість нашаровуючи транзакції через кілька адрес перед прямим депозитом коштів на біржі.

Було помічено, що група використовує міксер Wasabi в обмежених випадках, з лише двома ідентифікованими депозитами.

Оператори програм-вимагачів навмисно паркують кошти на різних етапах процесу відмивання, ймовірно, щоб порушити шаблони відстеження або дочекатися сприятливих умов, таких як зменшення уваги ЗМІ або нижчі мережеві комісії.

Embargo спеціально націлюється на організації охорони здоров'я, щоб максимізувати вплив через операційні порушення.

Атаки на охорону здоров'я можуть безпосередньо впливати на догляд за пацієнтами, з потенційно небезпечними для життя наслідками, і створювати тиск для швидких виплат викупу.

Група використовує тактику подвійного вимагання — шифрування файлів з одночасним викраденням конфіденційних даних. Жертви стикаються з загрозами витоку даних або продажу в даркнеті, якщо вони відмовляються від оплати, що посилює фінансові збитки репутаційними та регуляторними наслідками.