Ransomware-gruppen Embargo
En relativt ny ransomware-grupp, känd som Embargo, har blivit en nyckelaktör inom cyberbrottslighet och har flyttat över 34 miljoner dollar i kryptovaluta kopplade till lösenbetalningar sedan april 2024. Verksamheten bedrivs under en ransomware-as-a-service (RaaS) modell, och Embargo har riktat in sig på kritisk infrastruktur i hela USA, med mål som inkluderar sjukhus och läkemedelsnätverk, enligt blockchain-intelligensföretaget TRM Labs.
Offren och Lösenkrav
Offren omfattar American Associated Pharmacies, Memorial Hospital and Manor i Georgia, samt Weiser Memorial Hospital i Idaho. Lösenkraven har rapporterats nå upp till 1,3 miljoner dollar.
Relation till BlackCat (ALPHV)
TRM:s utredning tyder på att Embargo kan vara en ommärkt version av den ökända BlackCat (ALPHV)-operationen, som försvann efter en misstänkt exit-scam tidigare i år. De två grupperna delar teknisk överlappning, använder programmeringsspråket Rust, driver liknande dataläckagesajter och uppvisar on-chain kopplingar genom delad plåtinfrastruktur.
Kryptovaluta och Taktik
Embargo har 18,8 miljoner dollar i vilande kryptovaluta. Ungefär 18,8 miljoner dollar av Embargos kryptovalutaintäkter förblir vilande i orelaterade plånböcker, en taktik som experter tror kan vara utformad för att fördröja upptäckten eller utnyttja bättre tvättförhållanden i framtiden. Gruppen använder ett nätverk av mellanliggande plånböcker, hög-risk börser och sanktionerade plattformar, inklusive Cryptex.net, för att dölja ursprunget av medlen.
Utpressningstaktiker
Även om de inte är lika synligt aggressiva som LockBit eller Cl0p, har Embargo antagit dubbla utpressningstaktiker, krypterat system och hotat att läcka känslig data om offren misslyckas med att betala. I vissa fall har gruppen offentligt namngivit individer eller läckt data på sin webbplats för att öka pressen.
Riktade Sektorer
Embargo riktar sig främst mot sektorer där driftstopp är kostsamma, inklusive hälso- och sjukvård, affärstjänster och tillverkning, och har visat en preferens för amerikanska offer, troligen på grund av deras högre betalningskapacitet.
Reglering i Storbritannien
Storbritannien planerar att förbjuda ransomware-betalningar för den offentliga sektorn. Förslaget introducerar ett förebyggande system som kräver att offer utanför förbudet rapporterar avsedda lösenbetalningar. Planen inkluderar också ett obligatoriskt rapporteringssystem, där offer måste lämna in en första rapport till regeringen inom 72 timmar efter en attack och en detaljerad uppföljning inom 28 dagar.
Statistik om Ransomware
Ransomware såg en minskning med 35% i attacker förra året, enligt Chainalysis. Det markerade den första minskningen av ransomware-intäkter sedan 2022, enligt rapporten.
