گروه باج‌افزاری Embargo در مدت یک سال ۳۴.۲ میلیون دلار به دست آورد: TRM Labs

گروه باج‌افزار Embargo از زمان ظهورش در آوریل 2024، 34.2 میلیون دلار سرقت کرده است و قربانیان را در بخش‌های بهداشت و درمان، خدمات تجاری و تولید هدف قرار داده است، طبق تحقیق TRM Labs.

بیشتر قربانیان در ایالات متحده هستند و درخواست‌های باج به حداکثر 1.3 میلیون دلار در هر حمله می‌رسد.

این گروه جرایم سایبری به اهداف بزرگی از جمله American Associated Pharmacies، Memorial Hospital و Manor در جورجیا و Weiser Memorial Hospital در آیداهو حمله کرده است.

TRM Labs تقریباً 18.8 میلیون دلار از وجوه قربانیان را شناسایی کرده که در کیف پول‌های نامشخصی باقی مانده‌اند.

مشکوک به ارتباط با BlackCat

طبق تحقیق TRM Labs، Embargo ممکن است نسخه‌ای بازbranding شده از گروه باج‌افزار BlackCat (ALPHV) باشد، بر اساس شباهت‌های فنی و زیرساخت‌های مشترک.

هر دو گروه از زبان برنامه‌نویسی Rust استفاده می‌کنند و طراحی و عملکرد سایت‌های نشت داده تقریباً یکسانی را حفظ کرده‌اند.

تحلیل‌های زنجیره‌ای نشان داد که آدرس‌های تاریخی مرتبط با BlackCat ارزهای دیجیتال را به خوشه‌های کیف پول مرتبط با قربانیان Embargo هدایت کرده‌اند.

این ارتباط نشان می‌دهد که اپراتورهای Embargo ممکن است عملیات BlackCat را به ارث برده یا از آن بعد از خروج ظاهری‌اش در 2024 تکامل یافته باشند.

Embargo تحت یک مدل باج‌افزار به عنوان خدمات عمل می‌کند، ابزارهایی را به وابستگان ارائه می‌دهد در حالی که کنترل عملیات‌های اصلی و مذاکره‌های پرداخت را حفظ می‌کند. این ساختار امکان گسترش سریع در بخش‌ها و مناطق جغرافیایی مختلف را فراهم می‌کند.

استفاده از روش‌های پیچیده پولشویی توسط باج‌افزار Embargo

این سازمان از پلتفرم‌های تحریم‌شده مانند Cryptex.net، صرافی‌های پرخطر و کیف پول‌های میانجی برای پولشویی ارزهای دیجیتال سرقت شده استفاده می‌کند.

بین مه و اوت 2024، TRM Labs تقریباً 13.5 میلیون دلار در واریزهایی که از طریق ارائه‌دهندگان مختلف خدمات دارایی‌های مجازی انجام شده است، از جمله بیش از 1 میلیون دلار که از طریق Cryptex.net هدایت شده، نظارت کرده است.

Embargo از وابستگی سنگین به میکسرهای ارزهای دیجیتال جلوگیری می‌کند و به جای آن تراکنش‌ها را در چندین آدرس لایه‌بندی می‌کند قبل از اینکه وجوه را مستقیماً به صرافی‌ها واریز کند.

گروه در موارد محدود از میکسر Wasabi استفاده کرده است که فقط دو واریز شناسایی‌شده داشتند.

اپراتورهای باج‌افزار به طور عمدی وجوه را در مراحل مختلف فرآیند پولشویی جمع‌آوری می‌کنند، که احتمالاً برای مختل‌کردن الگوهای ردیابی یا انتظار برای شرایط مطلوب مانند کاهش توجه رسانه‌ای یا هزینه‌های پایین‌تر شبکه است.

Embargo به طور خاص به سازمان‌های بهداشتی حمله می‌کند تا از طریق اختلال عملیاتی، فشار بیشتری را بر قربانیان وارد کند.

حملات به بخش سلامت می‌تواند به طور مستقیم بر مراقبت از بیماران تأثیر بگذارد، با عواقب بالقوه تهدیدکننده زندگی و ایجاد فشار برای پرداخت سریع باج.

این گروه تاکتیک‌های اخاذی دوگانه را به کار می‌برد—فایل‌ها را رمزگذاری کرده و در عین حال داده‌های حساس را خارج می‌کند. قربانیان تهدیدهایی مبنی بر نشت داده‌ها یا فروش در دارک وب را در صورت امتناع از پرداخت مواجه می‌شوند که آسیب مالی را با عواقب مربوط به اعتبار و مقررات ترکیب می‌کند.