С апреля 2024 года группа хакеров Embargo, работающая по модели «программа-вымогатель как услуга» (RaaS), получила около $34 200 000 в криптовалюте от жертв.
Среди них — медицинские организации American Associated Pharmacies, Memorial Hospital and Manor и Weiser Memorial Hospital. Некоторые выкупы достигали $1 300 000.
Аналитики TRM Labs считают, что Embargo — возможно, ребрендинг или отделение группировки BlackCat (ALPHV). Такое предположение основано на использовании языка Rust, похожем дизайне сайта и совпадениях в криптокошельках.
Группа предоставляет инструменты своим партнёрам, забирая часть выкупа, но контролирует инфраструктуру и переговоры. Она избегает сильной огласки, что помогает скрываться от правоохранителей.
Главные цели — компании здравоохранения, производства и бизнес-услуг, преимущественно в США, где можно получить крупные выкупы. Злоумышленники проникают через уязвимости, фишинг и заражённые сайты, затем отключают защиту и удаляют бэкапы перед шифрованием.
Embargo применяет «двойную эксторсию»: шифрует данные и похищает информацию, угрожая её обнародовать. Иногда публикует имена сотрудников для давления.
По данным TRM Labs, выкупы проходят через посредников, рискованные биржи и подсанкционные площадки, например Cryptex.net. Около $18 800 000 «заморожены» на неизвестных кошельках, усложняя отслеживание.
Группа использует искусственный интеллект для масштабирования атак, создания фишинговых сообщений и автоматизации вредоносного ПО. Аналогичные технологии применяют и компании для защиты — выявления подозрительной активности.
В некоторых случаях Embargo проявляет политические мотивы, возможно, сотрудничая с государственными структурами.
Эксперты подчёркивают, что понимание методов Embargo важно для готовности к кибератакам.
Источник
Уникальность