Група-вимагач Embargo: 34 мільйони доларів у криптовалюті та нові методи атак на критичну інфраструктуру США

Група-вимагач Embargo перемістила 34 мільйони доларів у криптовалюті з квітня: TRM Labs

Відносно нова група-вимагачів, відома як Embargo, стала ключовим гравцем у підпіллі кіберзлочинності, перемістивши понад 34 мільйони доларів у криптовалюті, пов’язаній із викупами, з квітня 2024 року.

Діючи за моделлю «вимагач-сервіс» (RaaS), Embargo атакувала критичну інфраструктуру по всій території Сполучених Штатів, зокрема лікарні та фармацевтичні мережі, згідно з даними блокчейн-аналітичної компанії TRM Labs.

Серед жертв є American Associated Pharmacies, Memorial Hospital and Manor, розташована в штаті Джорджія, та Weiser Memorial Hospital в Айдахо. Звіти про викуп досягали до 1.3 мільйона доларів.

Дослідження TRM вказує на те, що Embargo може бути ребрендинговою версією відомої операції BlackCat (ALPHV), яка зникла після підозрюваного зникнення раніше цього року. Обидві групи мають технічну схожість, використовуючи мову програмування Rust, працюючи на аналогічних сайтах витоку даних та демонструючи зв’язки в блокчейні через спільну інфраструктуру гаманців.

Згідно з графічним візуалізатором TRM, на малому кластері гаманців Embargo з’являється вхідний потік BlackCat (ALPHV). Джерело: TRM Labs

Пов’язані новини: Міністерство юстиції США конфіскувало 24 мільйони доларів у криптовалюті у підозрюваного розробника шкідливого ПЗ Qakbot.

Embargo тримає 18.8 мільйонів доларів у «сплячій» криптовалюті

Приблизно 18.8 мільйонів доларів від криптовалютних доходів Embargo залишаються без руху у не пов`язаних гаманцях, що, за словами експертів, може бути тактикою затримки виявлення або використання кращих умов для відмивання в майбутньому.

Група використовує мережу посередницьких гаманців, високоризикові біржі та санкційні платформи, включаючи Cryptex.net, для затемнення джерела коштів. З травня по серпень TRM відстежили принаймні 13.5 мільйонів доларів через різні постачальники віртуальних активів, з яких понад 1 мільйон доларів було маршрутизовано через Cryptex.

Хоча Embargo не є настільки агресивною, як LockBit чи Cl0p, вона застосовує тактику подвійного шантажу, шифруючи системи та погрожуючи витоком конфіденційних даних, якщо жертви не сплатять. У деяких випадках група публічно називала осіб або викладала дані на своєму сайті для підвищення тиску.

Embargo в основному націлюється на сектори, де простій є витратним, включаючи охорону здоров’я, бізнес-послуги та виробництво, і проявляє перевагу до жертв, що знаходяться в США, імовірно через їхню вищу платоспроможність.

Пов’язані новини: Велика Британія планує заборонити платежі у разі викупу в державному секторі.

Велика Британія планує заборонити платежі за викуп для всіх державних органів та операторів критичної національної інфраструктури, включаючи енергетику, охорону здоров’я та місцеві ради. Ця пропозиція запроваджує режим запобігання, який вимагає від жертв, що виходять за межі заборони, повідомляти про намічені платежі за викуп.

План також включає систему обов’язкового звітування, за якою жертвам потрібно подати первинний звіт до уряду протягом 72 годин після нападу та детальний звіт протягом 28 днів.

Відповідно до Chainalysis, у минулому році кількість атак програм-вимагачів знизилася на 35%. Це стало першим зниженням доходів від викупів з 2022 року за даними звіту.

Журнал: Всередині бот-фабрики на 30,000 телефонів, що краде криптовалютні аірдропи у реальних користувачів.