اتُهمت مجموعة برامج الفدية "إمبارغو" بتحويل أكثر من 34 مليون دولار في عدة مدفوعات مرتبطة بالعملات المشفرة منذ أبريل 2024. ووفقًا لشركة "تي آر إم لابز" المتخصصة في تحليلات البلوك تشين، فقد أصبحت المجموعة، التي لا تزال حديثة نسبيًا، لاعبًا رئيسيًا في عالم الجريمة الإلكترونية السرية.
مختبرات TRM أن برنامج Embargo يعمل وفق نموذج برامج الفدية كخدمة، ويستهدف البنى التحتية الحيوية في جميع أنحاء الولايات المتحدة.
كشف التقرير أن المجموعة استهدفت مستشفيات وشبكات صيدلانية عديدة في ولايات مختلفة. ومن بين ضحاياها صيدليات "أمريكان أسوشيتد فارماسيز"، ومستشفى "ميموريال" و"مانور" في جورجيا، ومستشفى "وايزر" في أيداهو، مشيرًا إلى أن طلبات الفدية بلغت أكثر من 1.3 مليون دولار.
كشفت تحقيقات مختبرات TRM عن عمليات شركة Embargo
بحسب مختبرات TRM، كشفت تحقيقاتها أن المجموعة ربما تكون قد ظهرت كنسخة مُعاد تسميتها من عملية BlackCat (ALPHV) سيئة السمعة. اختفت هذه المجموعة في وقت سابق من هذا العام بعد تورطها في عملية احتيال. وتُعرف عملية الاحتيال هذه بأنها عملية سطو يختفي فيها المسؤولون عن مشروع ما بأموال المستخدمين دون أي trac.
باستخدام لغة البرمجة Rust، وتشغيل مواقع تسريب البيانات المماثلة، وإظهار الروابط على السلسلة من خلال البنية التحتية للمحفظة المشتركة، لاحظت مختبرات TRM أن كلا الكيانين يشتركان في تداخل تقني.
تشير التقارير إلى أن نحو 18 مليون دولار من العائدات غير المشروعة التابعة لشركة إمبارجو لا تزال راكدة في محافظ إلكترونية غير تابعة لها. ويعتقد المحللون أن هذه الحيلة تُستخدم لتأخير الكشف عن الشركة أو للبحث عن فرص استغلال أفضل في المستقبل.
تستخدم إمبارغو شبكة من المحافظ الوسيطة، ومنصات التداول عالية المخاطر، والمنصات الخاضعة للعقوبات، بما في ذلك Cryptos.net، لإخفاء مسارات المعاملات وإخفاء الأموال. وذكرت شركة TRM Labs أنها trac، خلال الفترة من مايو إلى أغسطس، ما لا يقل عن 13.5 مليون دولار أمريكي مسروقة من قبل إمبارغو عبر مختلف مزودي خدمات الأصول الافتراضية، مع تحويل أكثر من مليون دولار أمريكي باستخدام منصة Cryptex وحدها.
رغم أن جماعة "إمبارغو" لا تستخدم أساليب العدوان التي تتبعها جماعات مثل "لوكبيت" أو "كلوب"، إلا أنها تبنت أسلوب ابتزاز مزدوج. فهي تستخدم تشفير الأنظمة والتهديدات بتسريب البيانات الحساسة لإجبار ضحاياها على دفع الفدية. وفي بعض الحالات الأخرى، سربت الجماعة أسماء الأفراد المتورطين أو البيانات المسروقة لإظهار جديتها وزيادة الضغط.
إيمارغو تستهدف أهدافاً بالغة الأهمية
تستهدف هذه المجموعة دائمًا القطاعات التي يُكبّدها توقف العمليات خسائر فادحة، بما في ذلك قطاعات الرعاية الصحية والتصنيع وخدمات الأعمال. وقد تبيّن أيضًا أنها تُفضّل الضحايا المقيمين في الولايات المتحدة، نظرًا لقدرتهم على الدفع في الوقت المحدد، إذ قد يُكبّدهم توقف العمليات خسائر فادحة.
في غضون ذلك، أعلنت المملكة المتحدة عن خطط لحظر دفع فدية برامج الفدية لجميع هيئات القطاع العام ومشغلي البنية التحتية الوطنية الحيوية. وتشمل هذه القطاعات الطاقة والرعاية الصحية والمجالس المحلية. وسيُدخل هذا المقترح نظامًا وقائيًا يُلزم الضحايا الذين لا يشملهم الحظر بالإبلاغ عن أي نية لدفع فدية برامج الفدية إلى السلطات.
وتشمل الخطة أيضاً نظام إبلاغ إلزامي حيث يُطلب من الضحايا تقديم تقرير أولي إلى الحكومة في غضون 72 ساعة من وقوع الهجوم ومتابعة مفصلة في غضون 28 يوماً التالية.
بحسب تقرير سابق لشركة Chainalysis، هجمات برامج الفدية بنحو 35% العام الماضي. وأشار التقرير إلى أن هذه هي المرة الأولى منذ عام 2022 التي تنخفض فيها عائدات برامج الفدية بهذا القدر. وذكر التقرير، الذي نُشر في فبراير، أنه على الرغم من هذا الانخفاض، فقد خسر المستخدمون أكثر من 800 مليون دولار لصالح المجرمين. وعزت Chainalysis هذا الانخفاض إلى عدة أسباب، منها تكثيف جهود إنفاذ القانون، وتحسين التعاون الدولي، وتزايد رفض الضحايا للدفع.
