Die Ransomware-Gruppe Embargo wird beschuldigt, seit April 2024 mehr als 34 Millionen Dollar in mehreren kryptobezogenen Zahlungen transferiert zu haben. Laut dem Blockchain-Analyseunternehmen TRM Labs hat sich die noch relativ junge Gruppe zu einem wichtigen Akteur in der Welt der Cyberkriminalität entwickelt.
TRM Labs enthüllte, dass Embargo nach dem Ransomware-as-a-Service-Modell operiert und kritische Infrastrukturen in den gesamten Vereinigten Staaten angreift.
Der Bericht enthüllte, dass die Gruppe Krankenhäuser und mehrere Apothekenketten in zahlreichen Bundesstaaten angegriffen hat. Zu den Opfern gehören unter anderem American Associated Pharmacies, das Memorial Hospital and Manor in Georgia sowie das Weiser Hospital in Idaho. Die Lösegeldforderungen erreichten dabei über 1,3 Millionen US-Dollar.
Die Untersuchungen von TRM Labs decken die Machenschaften von Embargo auf
Laut TRM Labsergaben deren Untersuchungen, dass die Gruppe möglicherweise als umbenannte Version der berüchtigten BlackCat-Gruppe (ALPHV) entstanden ist. Diese Gruppe verschwand Anfang des Jahres, nachdem sie in einen Exit-Scam verwickelt war. Ein Exit-Scam ist eine Art Betrug, bei dem die Verantwortlichen eines Projekts mit den Geldern der Nutzer spurlos trac.
TRM Labs stellte fest, dass beide Organisationen durch die Verwendung der Programmiersprache Rust, den Betrieb ähnlicher Datenleckseiten und die Darstellung von On-Chain-Verbindungen über eine gemeinsame Wallet-Infrastruktur eine technische Überschneidung aufweisen.
Berichten zufolge befinden sich rund 18 Millionen US-Dollar illegaler Erträge von Embargo weiterhin ungenutzt in fremden Wallets. Analysten vermuten, dass diese Taktik dazu dient, die Entdeckung zu verzögern oder zukünftig lukrativere Gelegenheiten für illegale Machenschaften zu schaffen.
Embargo nutzt ein Netzwerk aus zwischengeschalteten Wallets, risikoreichen Börsen und sanktionierten Plattformen wie Cryptos.net, um Transaktionsspuren zu verschleiern und Gelder zu verbergen. Laut TRM Labs wurden zwischen Mai und August mindestens 13,5 Millionen US-Dollar von Embargo über verschiedene Anbieter von Kryptowährungsdiensten trac, wobei allein über Cryptex mehr als eine Million US-Dollar transferiert wurden.
Embargo wendet zwar nicht die aggressive Taktik von Gruppen wie LockBit oder Cl0p an, setzt aber auf eine doppelte Erpressungsmethode. Die Gruppe verschlüsselt ihre Systeme und droht mit der Veröffentlichung sensibler Daten, um ihre Opfer zur Zahlung des Lösegelds zu zwingen. In einigen Fällen veröffentlichte die Gruppe auch Namen von Beteiligten oder die gestohlenen Daten, um ihre Ernsthaftigkeit zu unterstreichen und den Druck zu erhöhen.
Emargo nimmt hochkarätige Ziele ins Visier
Die Gruppe zielt gezielt auf Branchen ab, in denen Ausfallzeiten hohe Betriebskosten verursachen, darunter das Gesundheitswesen, die Fertigungsindustrie und der Dienstleistungssektor. Es hat sich zudem gezeigt, dass sie Opfer in den USA bevorzugt, da diese in der Regel zahlungsfähig sind und Ausfallzeiten erhebliche finanzielle Folgen für ihren Betrieb haben können.
Unterdessen hat das Vereinigte Königreich Pläne angekündigt, Ransomware-Zahlungen für alle öffentlichen Einrichtungen und Betreiber kritischer Infrastrukturen zu verbieten. Zu diesen Sektoren gehören unter anderem Energie, Gesundheitswesen und Kommunen. Der Vorschlag sieht ein Präventionssystem vor, das Betroffene außerhalb des Verbots verpflichtet, beabsichtigte Ransomware-Zahlungen den Behörden zu melden.
Der Plan sieht außerdem ein verpflichtendes Meldesystem vor, bei dem die Opfer innerhalb von 72 Stunden nach einem Angriff einen ersten Bericht an die Regierung übermitteln müssen, gefolgt von einer detaillierten Nachmeldung innerhalb der nächsten 28 Tage.
Laut einem früheren Bericht von Chainalysis Ransomware-Angriffe im letzten Jahr um etwa 35 % zurück. Der Bericht behauptete, dies sei der erste derartige Rückgang der Einnahmen aus Ransomware seit 2022. Der im Februar veröffentlichte Bericht erwähnte, dass Nutzer trotz des Rückgangs immer noch mehr als 800 Millionen US-Dollar an die Kriminellen verloren. Chainalysis nannte als Gründe für den Rückgang verstärkte Maßnahmen der Strafverfolgungsbehörden, eine verbesserte internationale Zusammenarbeit und die zunehmende Zahlungsunwilligkeit der Opfer.
