С апреля 2024 года хакерское объединение Embargo, работающее по схеме «ransomware как услуга» (RaaS), получило от жертв выкуп на сумму около $34,2 млн в криптовалюте. Основными объектами атак стали компании в США, в частности American Associated Pharmacies, Memorial Hospital and Manor и Weiser Memorial Hospital. Некоторые отдельные выкупы достигали $1,3 млн.
Об этом сообщает Finway
Тактика Embargo и главные цели атак
Embargo известна тем, что предоставляет инструменты аффилированным хакерам в обмен на долю от полученного выкупа, сохраняя за собой контроль над инфраструктурой и переговорами с жертвами. Группа избегает публичности, что позволяет ей долго оставаться незамеченной для правоохранительных органов.
Главными целями Embargo являются организации в сферах здравоохранения, бизнес-услуг и производства, прежде всего в США, где компании могут выплачивать значительные суммы выкупа. Злоумышленники проникают в сети через незакрытые уязвимости, фишинговые письма или зараженные сайты, после чего отключают системы безопасности и уничтожают резервные копии перед шифрованием данных.
Развитие киберпреступности и подозрения в политической мотивации
Embargo применяет стратегию «двойного вымогательства»: помимо шифрования данных, похищает конфиденциальную информацию и угрожает ее публикацией или продажей в даркнете. В некоторых случаях злоумышленники публикуют имена конкретных лиц для усиления психологического давления на пострадавших.
По оценкам аналитиков, Embargo может быть преемником или ребрендингом известного объединения BlackCat (ALPHV) — на это указывает использование языка Rust, схожий дизайн сайтов для публикации утечек и пересечения в криптовалютных кошельках.
Выкуп, полученный Embargo, проходит через ряд посреднических кошельков, рискованных криптобирж, а также санкционные платформы, в частности Cryptex.net. Около $18,8 млн в настоящее время заблокировано на неизвестных адресах, что усложняет отслеживание перемещения средств.
Специалисты предполагают, что Embargo использует искусственный интеллект и машинное обучение для автоматизации атак, создания сложных фишинговых кампаний, модификации вредоносного ПО и повышения эффективности операций. В то же время подобные технологии применяют и компании для защиты своих систем — от выявления подозрительной активности до автоматической блокировки угроз.
«В TRM Labs подчеркнули, что понимание тактик Embargo является критически важным для повышения готовности организаций к реагированию. Объединение демонстрирует, что современные ransomware-операции становятся технически сложнее, более гибкими и способны быстро эволюционировать для избежания разоблачения».
Хотя основная цель Embargo — финансовая, в некоторых атаках прослеживаются политические месседжи, что может свидетельствовать о связях с государственными структурами.
Ранее эксперты подсчитали, что за первое полугодие 2025 года криптовалютная индустрия потеряла из-за хакерских атак $2,1 млрд.