Introduktion til Embargo
En relativt ny ransomware-gruppe kendt som Embargo er blevet en nøglespiller i cyberkriminalitetens undergrund og har flyttet over 34 millioner USD i kryptovaluta-relaterede løsesummer siden april 2024. Embargo opererer under en ransomware-as-a-service (RaaS) model og har ramt kritisk infrastruktur i hele USA, herunder hospitaler og farmaceutiske netværk, ifølge blockchain-intelligensfirmaet TRM Labs.
Ofre og angreb
Ofrene inkluderer American Associated Pharmacies, Memorial Hospital and Manor i Georgia og Weiser Memorial Hospital i Idaho. Løsesummerne har angiveligt nået op til 1,3 millioner USD.
“TRMs efterforskning tyder på, at Embargo kan være en omdøbt version af den berygtede BlackCat (ALPHV) operation, som forsvandt efter en mistænkt exit-svindel tidligere på året.”
De to grupper deler teknisk overlap, bruger programmeringssproget Rust, driver lignende datalækagesider og udviser on-chain forbindelser gennem delt wallet-infrastruktur.
Finansiel aktivitet
Embargo holder 18,8 millioner USD i inaktiv kryptovaluta. Omkring 18,8 millioner USD af Embargos kryptovaluta-provenu forbliver inaktiv i uafhængige wallets, en taktik som eksperter mener kan være designet til at forsinke opdagelse eller udnytte bedre hvidvaskningsbetingelser i fremtiden.
Gruppen bruger et netværk af mellemliggende wallets, højrisiko børser og sanktionerede platforme, herunder Cryptex.net, for at skjule oprindelsen af midlerne. Fra maj til august sporede TRM mindst 13,5 millioner USD på tværs af forskellige virtuelle aktivtjenesteudbydere og mere end 1 million USD, der blev dirigeret gennem Cryptex alene.
Taktikker og mål
Selvom de ikke er så synligt aggressive som LockBit eller Cl0p, har Embargo vedtaget dobbelt udpresningstaktikker, hvor de krypterer systemer og truer med at lække følsomme data, hvis ofrene ikke betaler. I nogle tilfælde har gruppen offentligt navngivet enkeltpersoner eller lækket data på deres site for at øge presset.
Embargo retter primært sig mod sektorer, hvor nedetid er kostbar, herunder sundhedspleje, forretningsservice og fremstilling, og har vist en præference for amerikanske ofre, sandsynligvis på grund af deres højere betalingskapacitet.
Reguleringer i UK
UK vil forbyde ransomware-betalinger for den offentlige sektor. Det britiske kongehus er klar til at forbyde ransomware-betalinger for alle offentlige sektorer og operatører af kritisk national infrastruktur, herunder energi, sundhedspleje og lokale råd.
Forslaget introducerer et forebyggelsessystem, der kræver, at ofre uden for forbuddet rapporterer planlagte løsesummer. Planen inkluderer også et obligatorisk rapporteringssystem, hvor ofre skal indsende en indledende rapport til regeringen inden for 72 timer efter et angreb og en detaljeret opfølgning inden for 28 dage.
Ransomware så et fald på 35% i angreb sidste år, ifølge Chainalysis. Det markerede det første fald i ransomware-indtægter siden 2022, ifølge rapporten.
