Il gruppo ransomware Embargo ha spostato 34 milioni di dollari da aprile 2024, rivela TRM Labs

Il gruppo ransomware Embargo è stato accusato di aver trasferito oltre 34 milioni di dollari in diversi pagamenti legati alle criptovalute da aprile 2024. Secondo la società di intelligence blockchain TRM Labs, il gruppo, ancora relativamente nuovo, è diventato un attore chiave nel mondo della criminalità informatica sotterranea.

TRM Labs ha rivelato che Embargo opera secondo un modello ransomware-as-a-service, colpendo infrastrutture critiche negli Stati Uniti.

Il rapporto ha rivelato che il gruppo ha colpito ospedali e diverse reti farmaceutiche in numerosi stati. Tra le sue vittime figurano l'American Associated Pharmacies, il Memorial Hospital and Manor in Georgia e il Weiser Hospital in Idaho, rilevando che le richieste di riscatto hanno raggiunto oltre 1,3 milioni di dollari.

Le indagini di TRM Labs scoprono le operazioni di Embargo

Secondo TRM Labs, le indagini hanno scoperto che il gruppo potrebbe essere nato come una versione ribattezzata della famigerata operazione BlackCat (ALPHV). Il gruppo in questione è scomparso all'inizio di quest'anno dopo essere stato coinvolto in un'exit scam. Un'exit scam è una sorta di truffa in cui i responsabili di un progetto spariscono con i fondi degli utenti senza lasciare trac.

Utilizzando il linguaggio di programmazione Rust, gestendo siti di fuga di dati simili e mostrando legami on-chain tramite un'infrastruttura di portafoglio condivisa, TRM Labs ha notato che entrambe le entità condividono una sovrapposizione tecnica.

Secondo alcune segnalazioni, circa 18 milioni di dollari di proventi illeciti appartenenti a Embargo giacciono ancora dormienti in portafogli non affiliati. Gli analisti ritengono che questa tattica venga utilizzata per ritardare l'individuazione o per cercare migliori opportunità di sfruttamento in futuro.

Embargo utilizza una rete di portafogli intermediari, exchange ad alto rischio e piattaforme autorizzate, tra cui Cryptos.net, per nascondere le tracce delle transazioni e i fondi. Da maggio ad agosto, TRM Labs ha dichiarato di aver tracalmeno 13,5 milioni di dollari rubati da Embargo attraverso vari fornitori di servizi di asset virtuali, con oltre 1 milione di dollari trasferiti tramite il solo Cryptex.

Sebbene Embargo non utilizzi la tattica aggressiva impiegata da gruppi come LockBit o Cl0p, il gruppo ha adottato una doppia strategia di estorsione. Utilizza la crittografia del sistema e minaccia di divulgare dati sensibili per costringere le vittime a pagare il riscatto. In altri casi, il gruppo ha divulgato i nomi delle persone coinvolte o i dati rubati per dimostrare la sua serietà e aumentare la pressione.

Emargo punta a obiettivi ad alto rischio

Il gruppo prende sempre di mira settori in cui i tempi di inattività si rivelano costosi per le loro attività, tra cui settori come la sanità, la produzione e i servizi alle imprese. È stato anche dimostrato di preferire le vittime residenti negli Stati Uniti, considerando che tendono ad avere la capacità di pagare puntualmente, poiché i tempi di inattività possono rivelarsi costosi per le loro attività.

Nel frattempo, il Regno Unito ha annunciato l'intenzione di vietare i pagamenti ransomware per tutti gli enti pubblici e gli operatori di infrastrutture nazionali critiche. Questi settori includono energia, sanità e amministrazioni locali. La proposta introdurrà un regime di prevenzione che richiederà alle vittime non soggette al divieto di segnalare alle autorità qualsiasi pagamento ransomware previsto.

Il piano prevede anche un sistema di segnalazione obbligatoria in base al quale le vittime sono tenute a presentare una prima segnalazione al governo entro 72 ore dall'attacco e un follow-up dettagliato nei successivi 28 giorni.

Secondo un precedente rapporto di Chainalysis, gli attacchi ransomware sono diminuiti di circa il 35% lo scorso anno. Il rapporto affermava che era la prima volta dal 2022 che i ricavi derivanti dai ransomware scendevano così tanto. Il rapporto, pubblicato a febbraio, affermava che, nonostante il calo, gli utenti avevano comunque perso oltre 800 milioni di dollari a causa dei criminali. Chainalysis affermava che le cause di questo calo includevano l'intensificazione delle azioni delle forze dell'ordine, una migliore collaborazione internazionale e un crescente rifiuto delle vittime di pagare.