Зловмисники з угруповання Embargo, що діє за моделлю “програма-вимагач як послуга”, з квітня минулого року викрали у компаній США понад $34 млн у криптовалютах. Експерти вважають, що група може бути ребрендингом відомого хакерського колективу BlackCat.
За даними TRM Labs, Embargo працює за RaaS-моделлю, коли розробники надають інструменти афілійованим хакерам в обмін на частку від отриманого викупу. При цьому вони зберігають контроль над ключовими процесами, інфраструктурою та переговорами з жертвами.
Серед постраждалих: American Associated Pharmacies, Memorial Hospital and Manor та Weiser Memorial Hospital. Деякі викупи сягали $1,3 млн.
Аналітики TRM Labs вважають, що Embargo може бути ребрендингом або наступником відомого угруповання BlackCat (ALPHV). Підозри ґрунтуються на технічних збігах: використання мови програмування Rust, подібний дизайн сайту для витоків даних та перетини у криптогаманцях.
У звіті пояснюється, що група надає інструменти афілійованим хакерам в обмін на частку від викупу, зберігаючи контроль над ключовими операціями, інфраструктурою та переговорами з жертвами. Вона уникає агресивної публічності, характерної для інших угруповань, що допомагає довше залишатися поза увагою правоохоронців.
Методи атак та шляхи відмивання коштів
Основні цілі Embargo, це компанії у сфері охорони здоров’я, бізнес-послуг і виробництва, особливо у США, де організації зазвичай здатні платити вищі викупи. Хакери проникають у мережі через незакриті вразливості, фішинг чи заражені вебсайти, після чого вимикають системи безпеки та видаляють резервні копії перед шифруванням даних.
Embargo застосовує “подвійну ексторсію” і шифрує дані та паралельно викрадає конфіденційну інформацію, погрожуючи її опублікувати або продати на даркнеті. Іноді зловмисники навіть публікують імена конкретних людей, щоб посилити тиск.
За даними TRM Labs, отримані викупи проходять через посередницькі гаманці, ризиковані біржі та навіть підсанкційні платформи, як-от Cryptex.net. Близько $18,8 млн наразі “заморожені” на невідомих адресах, ймовірно, для ускладнення відстеження.
Експерти припускають, що Embargo може використовувати штучний інтелект для масштабування атак, створення реалістичних фішингових повідомлень, автоматичного модифікування шкідливого ПЗ та пришвидшення операцій. Водночас компанії також застосовують ШІ для захисту: від виявлення нетипової активності до автоматичного блокування підозрілих процесів.
Хоча основна мотивація Embargo – фінансова, у деяких інцидентах помічені політичні меседжі, що викликає підозри у можливих зв’язках із державними структурами. У TRM Labs підкреслюють, що розуміння тактик Embargo є критично важливим для підвищення готовності організацій до реагування.
