З квітня 2024 року хакерське угруповання Embargo, що працює за схемою «ransomware як послуга» (RaaS), отримало від жертв викуп на суму близько $34,2 млн у криптовалютах. Основними об’єктами атак стали компанії у США, зокрема American Associated Pharmacies, Memorial Hospital and Manor та Weiser Memorial Hospital. Деякі окремі викупи досягали $1,3 млн.
Про це розповідає Finway
Тактика Embargo та головні цілі атак
Embargo відома тим, що надає інструменти афілійованим хакерам в обмін на частку з отриманого викупу, зберігаючи за собою контроль над інфраструктурою та переговорами із жертвами. Група уникає публічності, що дозволяє їй тривалий час залишатися непоміченою для правоохоронних органів.
Головними цілями Embargo є організації у сферах охорони здоров’я, бізнес-послуг та виробництва, передусім у США, де компанії мають змогу виплачувати значні суми викупу. Зловмисники проникають у мережі через незакриті вразливості, фішингові листи або заражені сайти, після чого відключають системи безпеки та знищують резервні копії перед шифруванням даних.
Розвиток кіберзлочинності та підозри у політичній мотивації
Embargo застосовує стратегію «подвійної ексторсії»: крім шифрування даних, викрадає конфіденційну інформацію й погрожує її публікацією чи продажем у даркнеті. У деяких випадках зловмисники оприлюднюють імена конкретних осіб для посилення психологічного тиску на потерпілих.
За оцінками аналітиків, Embargo може бути наступником чи ребрендингом відомого угруповання BlackCat (ALPHV) — на це вказує використання мови Rust, схожий дизайн сайтів для публікації витоків та перетини у криптовалютних гаманцях.
Викуп, отриманий Embargo, проходить через низку посередницьких гаманців, ризикованих криптобірж, а також підсанкційні платформи, зокрема Cryptex.net. Близько $18,8 млн наразі заблоковано на невідомих адресах, що ускладнює відстеження переміщення коштів.
Фахівці припускають, що Embargo використовує штучний інтелект і машинне навчання для автоматизації атак, створення складних фішингових кампаній, модифікації шкідливого ПЗ та підвищення ефективності операцій. Водночас подібні технології застосовують і компанії для захисту своїх систем — від виявлення підозрілої активності до автоматичного блокування загроз.
“У TRM Labs підкреслили, що розуміння тактик Embargo є критично важливим для підвищення готовності організацій до реагування. Угруповання демонструє, що сучасні ransomware-операції стають технічно складнішими, гнучкішими та здатними швидко еволюціонувати для уникнення викриття”.
Хоча основна мета Embargo — фінансова, у деяких атаках простежуються політичні меседжі, що може свідчити про зв’язки із державними структурами.
Раніше експерти підрахували, що за перше півріччя 2025 року криптовалютна індустрія втратила через хакерські атаки $2,1 млрд.