Группа, занимающаяся распространением программ-вымогателей Embargo, обвиняется в переводе более 34 миллионов долларов в виде нескольких платежей, связанных с криптовалютой, с апреля 2024 года. По данным компании TRM Labs, специализирующейся на анализе блокчейна, эта относительно молодая группа стала ключевым игроком в мире подпольной киберпреступности.
Компания TRM Labs сообщила, что Embargo работает по модели «программа-вымогатель как услуга», поражая критически важную инфраструктуру по всей территории Соединенных Штатов.
В отчете сообщается, что группа атаковала больницы и несколько фармацевтических сетей в различных штатах. Среди ее жертв — American Associated Pharmacies, расположенные в Джорджии больницы Memorial Hospital и Manor, а также больница Weiser Hospital в Айдахо, при этом отмечается, что требования о выкупе достигли суммы более 1,3 миллиона долларов.
Расследование TRM Labs выявило деятельность компании Embargo
Согласно данным TRM Labs, проведенное ими расследование выявило, что эта группа, возможно, возникла как переименованная версия печально известной организации BlackCat (ALPHV). Указанная группа исчезла в начале этого года после того, как была замешана в мошеннической схеме вывода средств. Мошенничество вывода средств — это разновидность обмана, при которой лица, ответственные за проект, исчезают с деньгами пользователей, не оставляя никаких trac.
Используя язык программирования Rust, управляя аналогичными сайтами, демонстрирующими утечки данных, и имея связи в блокчейне через общую инфраструктуру кошельков, TRM Labs отметила, что обе организации имеют техническое сходство.
Согласно сообщениям, около 18 миллионов долларов незаконных доходов, принадлежащих Embargo, до сих пор остаются невостребованными в кошельках сторонних организаций. Аналитики полагают, что эта тактика используется для затягивания обнаружения или поиска более выгодных возможностей для эксплуатации в будущем.
Embargo использует сеть промежуточных кошельков, биржи, представляющие высокий риск, и санкционированные платформы, включая Cryptos.net, чтобы скрыть следы транзакций и замаскировать средства. По данным TRM Labs, с мая по август было tracкак минимум 13,5 миллионов долларов, украденных Embargo у различных поставщиков услуг виртуальных активов, при этом более 1 миллиона долларов было перемещено только с использованием Cryptex.
Хотя Embargo не использует агрессивную тактику, применяемую такими группами, как LockBit или Cl0p, эта группа использует двойную тактику вымогательства. Она применяет шифрование системы и угрозы утечки конфиденциальных данных, чтобы заставить жертв заплатить выкуп. В некоторых других случаях группа раскрывала имена причастных лиц или украденные данные, чтобы продемонстрировать серьезность своих намерений и усилить давление.
Компания Emargo нацелена на цели с высокими ставками
Группа всегда нацеливается на секторы, где простой оборудования обходится дорого, включая такие отрасли, как здравоохранение, производство и бизнес-услуги. Также было показано, что она отдает предпочтение пострадавшим компаниям из США, учитывая тот факт, что они, как правило, имеют возможность своевременно оплачивать счета, поскольку простой оборудования может дорого обойтись их бизнесу.
Тем временем Великобритания объявила о планах запретить выплаты выкупа за использование программ-вымогателей для всех государственных учреждений и операторов критической национальной инфраструктуры. К этим секторам относятся энергетика, здравоохранение и местные советы. Предложение предусматривает введение системы предотвращения, в рамках которой жертвы, не подпадающие под запрет, будут обязаны сообщать властям о любых предполагаемых выплатах выкупа.
План также включает в себя обязательную систему отчетности, в соответствии с которой пострадавшие обязаны подать первоначальное заявление правительству в течение 72 часов после нападения, а затем подробное последующее расследование в течение следующих 28 дней.
Согласно предыдущему отчету Chainalysis, количество атак программ-вымогателей в прошлом году сократилось примерно на 35%. В отчете утверждалось, что это первый случай с 2022 года, когда доходы от программ-вымогателей упали настолько сильно. В отчете, опубликованном в феврале, отмечалось, что, несмотря на снижение, пользователи все еще потеряли более 800 миллионов долларов из-за действий преступников. Chainalysis утверждала, что причинами снижения стали усиление мер правоохранительных органов, улучшение международного сотрудничества и растущий отказ жертв платить выкуп.
