O Grupo de Ransomware do Embargo roubou US $ 34,2 milhões desde que emergiu em abril de 2024, visando vítimas em setores de saúde, serviços de negócios e manufatura, de acordo com a TRM Labs Research.
A maioria das vítimas está localizada nos EUA, com demandas de resgate atingindo até US $ 1,3 milhão por ataque.
O Cybercrime Group atingiu os principais alvos, incluindo farmácias associadas americanas, Hospital Memorial e Manor na Geórgia, e o Weiser Memorial Hospital em Idaho.
A TRM Labs identificou aproximadamente US $ 18,8 milhões em fundos de vítimas que permanecem adormecidos em carteiras não atribuídas.
Conexão Blackcat suspeitava
De acordo com o TRM Labs, o Embargo pode ser uma versão renomeada do grupo de ransomware Blackcat (ALPHV), com base em semelhanças técnicas e infraestrutura compartilhada.
Ambos os grupos usam a linguagem de programação de ferrugem e mantêm projetos e funcionalidades quase idênticos ao vazamento de dados.
A análise na cadeia revelou que os endereços históricos vinculados a Blackcat canalizavam a criptomoeda para aglomerados de carteira associados às vítimas do embargo.
A conexão sugere que os operadores do embargo podem ter herdado a operação do Blackcat ou evoluído a partir dela após seu aparente golpe de saída em 2024.
O Embargo opera sob um modelo de ransomware como serviço, fornecendo ferramentas para afiliadas, mantendo o controle sobre operações principais e negociações de pagamento. Essa estrutura permite uma rápida escala em vários setores e regiões geográficas.
O uso do embargo Ransomware de métodos sofisticados de lavagem
A organização usa plataformas sancionadas, como Cryptex.net, trocas de alto risco e carteiras intermediárias para lavar a criptomoeda roubada.
Entre maio e agosto de 2024, a TRM Labs monitorou aproximadamente US $ 13,5 milhões em depósitos feitos por meio de vários provedores de serviços de ativos virtuais, incluindo mais de US $ 1 milhão roteados pelo Cryptex.net.
O embargo evita a forte dependência de misturadores de criptomoedas, em vez de transações em camadas em vários endereços antes de depositar fundos diretamente nas trocas.
O grupo foi observado usando o mixer Wasabi em instâncias limitadas, com apenas dois depósitos identificados.
Os operadores de ransomware estacionam deliberadamente os fundos em vários estágios do processo de lavagem, provavelmente interrompem os padrões de rastreamento ou aguardam condições favoráveis, como atenção reduzida da mídia ou taxas de rede mais baixas.
O Embargo tem como alvo especificamente as organizações de saúde para maximizar a alavancagem por meio da interrupção operacional.
Os ataques de saúde podem afetar diretamente o atendimento ao paciente, com consequências potencialmente com risco de vida e criar pressão para pagamentos rápidos de resgate.
O grupo emprega táticas de dupla extorsão – criando arquivos enquanto exfiltrando dados confidenciais. As vítimas enfrentam ameaças de vazamentos de dados ou vendas da Web Dark se recusarem o pagamento, agravando danos financeiros com consequências de reputação e regulamentação.
Fontecrypto.news
