Le groupe de ransomware Embargo est accusé d'avoir transféré plus de 34 millions de dollars en plusieurs paiements liés aux cryptomonnaies depuis avril 2024. Selon la société d'analyse de la blockchain TRM Labs, ce groupe, encore relativement récent, est devenu un acteur clé du monde de la cybercriminalité clandestine.
TRM Labs a révélé qu'Embargo opère selon un modèle de ransomware-as-a-service, ciblant des infrastructures critiques à travers les États-Unis.
Le rapport révèle que le groupe a ciblé des hôpitaux et plusieurs réseaux pharmaceutiques dans de nombreux États. Parmi ses victimes figurent American Associated Pharmacies, le Memorial Hospital and Manor (Géorgie) et le Weiser Hospital (Idaho). Les demandes de rançon s'élèvent à plus de 1,3 million de dollars.
Les enquêtes de TRM Labs mettent au jour les opérations d'Embargo
D'après TRM Labs, ses investigations ont révélé que le groupe pourrait être une version rebaptisée de la tristement célèbre opération BlackCat (ALPHV). Ce groupe a disparu en début d'année après avoir été impliqué dans une escroquerie de type « sortie frauduleuse ». Ce type d'escroquerie consiste à disparaître avec les fonds des utilisateurs sans laisser de trac.
TRM Labs a constaté que les deux entités utilisaient le langage de programmation Rust, exploitaient des sites de fuite de données similaires et présentaient des liens sur la chaîne via une infrastructure de portefeuille partagée.
Selon certaines sources, environ 18 millions de dollars provenant d'activités illégales et appartenant à Embargo demeurent inactifs dans des portefeuilles non affiliés. Les analystes estiment que cette tactique vise à retarder la détection ou à identifier de meilleures opportunités d'exploitation à l'avenir.
Embargo utilise un réseau de portefeuilles intermédiaires, de plateformes d'échange à haut risque et de plateformes sanctionnées, dont Cryptos.net, pour dissimuler les transactions et masquer les fonds. De mai à août, TRM Labs a indiqué avoir tracau moins 13,5 millions de dollars volés par Embargo via différents fournisseurs de services d'actifs virtuels, dont plus d'un million de dollars transférés par le seul biais de Cryptex.
Bien qu'Embargo n'utilise pas les tactiques agressives de groupes comme LockBit ou Cl0p, le groupe a adopté une double méthode d'extorsion. Il recourt au chiffrement des systèmes et aux menaces de divulgation de données sensibles pour contraindre ses victimes à payer la rançon. Dans certains cas, le groupe a divulgué les noms des personnes impliquées ou les données volées afin de démontrer son sérieux et d'accroître la pression.
Emargo s'attaque à des cibles à forts enjeux
Le groupe cible systématiquement les secteurs où les interruptions de service ont un impact financier important sur leurs opérations, notamment les industries de la santé, de la production et des services aux entreprises. Il semble également privilégier les victimes basées aux États-Unis, car ces dernières sont généralement en mesure de payer à temps, les interruptions de service pouvant s'avérer très coûteuses pour leurs activités.
Parallèlement, le Royaume-Uni a annoncé son intention d'interdire le paiement de rançons à tous les organismes du secteur public et aux opérateurs d'infrastructures critiques nationales. Ces secteurs comprennent l'énergie, la santé et les collectivités locales. La proposition instaurera un dispositif de prévention obligeant les victimes non concernées par l'interdiction à signaler aux autorités toute tentative de paiement de rançon.
Le plan prévoit également un système de signalement obligatoire selon lequel les victimes sont tenues de soumettre un premier rapport au gouvernement dans les 72 heures suivant une agression, puis un suivi détaillé dans les 28 jours suivants.
D'après un précédent rapport de Chainalysis, les attaques par rançongiciel ont diminué d'environ 35 % l'an dernier. Ce rapport indiquait qu'il s'agissait de la première baisse aussi importante des revenus générés par les rançongiciels depuis 2022. Publié en février, le rapport mentionnait également que, malgré cette diminution, les victimes avaient tout de même perdu plus de 800 millions de dollars. Chainalysis attribuait cette baisse à un renforcement des actions des forces de l'ordre, à une meilleure collaboration internationale et à un refus croissant des victimes de payer la rançon.
