Снимка: TRM LabsНова група за изнудване Embargo премести 34 милиона долара
Снимка: CryptoNovini.comОтносително нова група за изнудване, известна като Embargo, се утвърди като значим играч в света на киберпрестъпността през последните месеци. Компанията натрупа впечатляващата сума от над 34 милиона долара в криптовалута, свързана с откупи. Информацията е публикувана от експертите на TRM Labs, специализирана фирма за блокчейн разузнаване, която наскоро разкри мащабите на дейността на групата.
Модел на действие и основни жертви
Embargo работи по модела "изнудване като услуга" (Ransom as a Software), насочвайки се предимно към критична инфраструктура в Съединените щати. Сред основните мишени на групата са болнични заведения и фармацевтични мрежи, като жертвите включват American Associated Pharmacies, Мемориална болница и Manor в Джорджия, както и Мемориална болница Уайзър в Айдахо. Исканията за откуп, които Embargo отправя към своите жертви, са изключително високи и в някои случаи достигат до 1,3 милиона долара.
Потенциална връзка с BlackCat
Разследването, проведено от TRM Labs, разкрива любопитни подробности относно произхода на Embargo. Експертите предполагат, че тази група може всъщност да представлява ребрандирана версия на прословутата операция BlackCat (ALPHV), която изчезна от радара на киберсигурността след предполагаема измама за излизане от бизнеса по-рано през 2024 година.
Снимка: TRM LabsДвете групи демонстрират множество технически сходства, като използването на програмния език Rust, управлението на подобни сайтове за изтичане на данни и наличието на връзки в блокчейн чрез споделена инфраструктура на дигитални портфейли.
Финансови операции и тактики за пране на пари
Интересен аспект от дейността на Embargo е фактът, че приблизително 18,8 милиона долара от криптовалутните приходи на групата все още остават неизползвани в несвързани портфейли. Специалистите смятат, че това може да е съзнателна тактика, целяща да забави откриването на престъпниците или да им позволи да изчакат по-изгодни условия за последващо пране на придобитите нелегално средства.
За прикриване на произхода на финансите си Embargo използва сложна мрежа от посреднически портфейли, борси с висок риск и санкционирани платформи, сред които Cryptex.net. Проследяването, извършено от TRM в периода от Май до Август, показва, че най малко 13,5 милиона долара са преминали през различни доставчици на услуги за виртуални активи, а над 1 милион долара са били насочени през Cryptex.
Стратегия за двойно изнудване
Въпреки че Embargo не се проявява толкова агресивно в публичното пространство, колкото други известни групи като LockBit или Cl0p, тя успешно прилага тактики за двойно изнудване. Подходът включва криптиране на системите на атакуваните организации, съчетано със заплахи за изтичане на чувствителни данни, ако жертвите откажат да платят исканите суми. За да увеличи натиска, в определени случаи групата публично е назовава конкретни лица или е публикува откраднати данни на своя сайт.
Предпочитани сектори и географски фокус
Анализът на атаките показва, че Embargo се насочва предимно към сектори, където евентуалните прекъсвания на дейността водят до значителни финансови загуби. Такива са здравеопазването, бизнес услугите и производството. Забелязва се и ясно предпочитание към американски жертви, което вероятно се дължи на по-високия им капацитет за изплащане на поисканите откупи.
Противодействие и законодателни мерки
В отговор на нарастващата заплаха от подобни кибератаки, Обединеното кралство планира да въведе забрана за плащанията на откупи за всички публични институции и оператори на критична национална инфраструктура. Това включва енергетика, здравеопазване и местни административни органи. Предложението предвижда въвеждането на превантивен режим, който ще изисква от жертвите извън обхвата на забраната да докладват предварително за планирани плащания на откуп.
Планът съдържа и задължителна система за докладване, при която жертвите трябва да подадат първоначален доклад до правителството в рамките на 72 часа след атаката, последван от подробен отчет в срок от 28 дни.
Обща тенденция при програмите за изнудване
Въпреки активността на групи като Embargo, данните на Chainalysis показват, че като цяло атаките с програми за изнудване са намалели с 35% през последната година. Това бележи първия регистриран спад в приходите от атаки за изнудване от 2022 година насам, което може да се дължи на подобрените мерки за киберсигурност и международното сътрудничество в борбата с киберпрестъпността.
