- Група зловмисників Embargo змусила компанії США виплатити близько $34,2 млн у криптовалютах.
- Вона працює на основі RaaS-моделі та надає перевагу атакам на фірми охорони здоров’я, бізнес-послуг та виробництва.
- Крім фінансової мети, хакери ймовірно переслідують і політичні цілі, на що вказує їх участь у відповідних інцидентах.
З квітня 2024 року група зловмисників Embargo, що працює за моделлю «програма-вимагач (ransomware) як послуга» (RaaS), отримала приблизно $34,2 млн у криптовалютах від жертв. Серед останніх — American Associated Pharmacies, Memorial Hospital and Manor та Weiser Memorial Hospital. Деякі викупи сягали $1,3 млн.
Про це розповідає UBB
Аналітики TRM Labs вважають, що Embargo може бути ребрендингом або наступником відомого угруповання BlackCat (ALPHV). Підозри ґрунтуються на технічних збігах, зокрема на використанні мови програмування Rust, схожому дизайні сайту для витоків даних та перетинах у криптогаманцях.
У звіті зазначається, що група надає інструменти афілійованим хакерам в обмін на частку від викупу, зберігаючи контроль над ключовими операціями — інфраструктурою та переговорами з жертвами. Вона уникає агресивної публічності, характерної для інших угруповань, що допомагає залишатися поза увагою правоохоронців.
Основні цілі Embargo — компанії у сфері охорони здоров’я, бізнес-послуг і виробництва, особливо у США, де організації зазвичай здатні платити вищі викупи.
Хакери проникають у мережі через незакриті вразливості, фішинг або заражені вебсайти, після чого вимикають системи безпеки та видаляють резервні копії перед шифруванням даних.
Крім того, Embargo застосовує «подвійну ексторсію» — шифрує дані та паралельно викрадає конфіденційну інформацію, погрожуючи її опублікувати або продати на даркнеті. У деяких випадках зловмисники навіть публікують імена конкретних осіб, щоб посилити тиск.
За даними TRM Labs, отримані викупи проходять через посередницькі гаманці, ризиковані біржі та навіть підсанкційні платформи, такі як Cryptex.net. Близько $18,8 млн наразі «заморожені» на невідомих адресах — імовірно, для ускладнення відстеження.
Експерти припускають, що Embargo може використовувати штучний інтелект (ШІ) та машинне навчання для масштабування атак, створення реалістичних фішингових повідомлень, автоматичного модифікування шкідливого ПЗ та пришвидшення операцій.
Водночас ті самі технології застосовують і компанії для захисту: від виявлення нетипової активності до автоматичного блокування підозрілих процесів.
Згідно з аналізом, хоча основна мотивація Embargo — фінансова, у деяких інцидентах помічені політичні меседжі, що викликає підозри у можливих зв’язках із державними структурами.
У TRM Labs підкреслили, що розуміння тактик Embargo є критично важливим для підвищення готовності організацій до реагування. Угруповання демонструє, що сучасні ransomware-операції стають технічно складнішими, гнучкішими та здатними швидко еволюціонувати для уникнення викриття.
Нагадаємо, що експерти TRM Labs підрахували, що криптоіндустрія втратила через хакерські зломи $2,1 млрд за перше півріччя 2025 року.