O grupo de ransomware Embargo foi acusado de movimentar mais de US$ 34 milhões em diversos pagamentos vinculados a criptomoedas desde abril de 2024. De acordo com a empresa de inteligência em blockchain TRM Labs, o grupo, ainda relativamente novo, tornou-se um ator importante no submundo do cibercrime.
A TRM Labs revelou que o Embargo opera sob um modelo de ransomware como serviço, atingindo infraestruturas críticas nos Estados Unidos.
O relatório revelou que o grupo atacou hospitais e diversas redes farmacêuticas em vários estados. Algumas de suas vítimas incluem a American Associated Pharmacies, o Memorial Hospital and Manor, na Geórgia, e o Weiser Hospital, em Idaho, com exigências de resgate que ultrapassaram US$ 1,3 milhão.
Investigações da TRM Labs revelam as operações da Embargo
Segundo a TRM Labs , suas investigações revelaram que o grupo pode ter surgido como uma versão reformulada da infame operação BlackCat (ALPHV). O referido grupo desapareceu no início deste ano após se envolver em um golpe de saída. Um golpe de saída é um tipo de fraude em que os responsáveis por um projeto desaparecem com os fundos dos usuários sem deixar trac .
Utilizando a linguagem de programação Rust, operando sites de vazamento de dados semelhantes e exibindo vínculos on-chain por meio de infraestrutura de carteira compartilhada, a TRM Labs observou que ambas as entidades compartilham uma sobreposição técnica.
Segundo relatos, cerca de US$ 18 milhões em lucros ilícitos pertencentes ao Embargo ainda estão inativos em carteiras não afiliadas. Analistas acreditam que essa tática é usada para atrasar a detecção ou buscar melhores oportunidades de exploração no futuro.
A Embargo utiliza uma rede de carteiras intermediárias, corretoras que representam alto risco e plataformas sancionadas, incluindo a Cryptos.net, para ocultar rastros de transações e disfarçar fundos. De maio a agosto, a TRM Labs afirmou ter tracpelo menos US$ 13,5 milhões roubados pela Embargo em diversos provedores de serviços de ativos virtuais, com mais de US$ 1 milhão movimentado somente pela Cryptex.
Embora o Embargo não utilize a tática agressiva empregada por grupos como LockBit ou Cl0p, o grupo adotou uma tática de dupla extorsão. Utiliza criptografia de sistema e ameaças de vazamento de dados sensíveis para coagir suas vítimas a pagar o resgate. Em alguns casos, o grupo chegou a divulgar nomes de indivíduos envolvidos ou os dados roubados para demonstrar a gravidade da situação e aumentar a pressão.
A Emargo mira em alvos de alto risco
O grupo sempre visa setores onde o tempo de inatividade se mostra custoso para suas operações, incluindo indústrias como saúde, manufatura e serviços empresariais. Também foi demonstrado que o grupo tem preferência por vítimas sediadas nos Estados Unidos, considerando que estas tendem a ter capacidade de pagar em dia, já que o tempo de inatividade pode ser prejudicial às suas operações.
Entretanto, o Reino Unido anunciou planos para proibir pagamentos de ransomware para todos os órgãos do setor público e operadores de infraestrutura nacional crítica. Esses setores incluem energia, saúde e conselhos locais. A proposta introduzirá um regime de prevenção que exigirá que as vítimas fora da área de abrangência da proibição denunciem às autoridades quaisquer tentativas de pagamento de ransomware.
O plano também inclui um sistema de notificação obrigatória, no qual as vítimas são obrigadas a apresentar um relatório inicial ao governo dentro de 72 horas após um ataque e um relatório de acompanhamento detalhado nos 28 dias seguintes.
De acordo com um relatório anterior da Chainalysis, os ataques de ransomware diminuíram cerca de 35% no ano passado. O relatório afirmou que foi a primeira vez desde 2022 que as receitas provenientes de ransomware caíram tanto. O relatório, divulgado em fevereiro, mencionou que, apesar da queda, os usuários ainda perderam mais de US$ 800 milhões para os criminosos. A Chainalysis afirmou que as causas da queda incluíram o aumento das ações policiais, a melhoria da colaboração internacional e uma crescente recusa das vítimas em pagar os resgates.
