Понад $34 млн у криптоактивах з квітня 2024 року викрала хакерська група Embargo

Хакерська група Embargo викрала понад $34 млн у криптоактивах з квітня 2024 року  . Головний колаж новини.

• Група зловмисників Embargo змусила компанії США виплатити близько $34,2 млн у криптовалютах.
• Вона працює на основі RaaS-моделі та надає перевагу атакам на фірми охорони здоров’я, бізнес-послуг та виробництва.
• Крім фінансової цілі нападу, хакери ймовірно переслідують й політичну, на що вказує їх участь у відповідних інцидентах.      

З квітня 2024 року група зловмисників Embargo, що працює за моделлю «програма-вимагач (ransomware) як послуга» (RaaS), отримала приблизно $34,2 млн у криптовалютах від жертв. Серед останніх — American Associated Pharmacies, Memorial Hospital and Manor та Weiser Memorial Hospital. Деякі викупи сягали $1,3 млн.

Аналітики TRM Labs вважають, що Embargo може бути ребрендингом або наступником відомого угруповання BlackCat (ALPHV). Підозри ґрунтуються на технічних збігах: використання мови програмування Rust, подібний дизайн сайту для витоків даних та перетини у криптогаманцях.

У звіті пояснюється, що група надає інструменти афілійованим хакерам в обмін на частку від викупу, зберігаючи контроль над ключовими операціями — інфраструктурою та переговорами з жертвами. Вона уникає агресивної публічності, характерної для інших угруповань, що допомагає довше залишатися поза увагою правоохоронців.

Основні цілі Embargo — компанії у сфері охорони здоров’я, бізнес-послуг і виробництва, особливо у США, де організації, як правило, здатні платити вищі викупи. 

Так, хакери проникають у мережі через незакриті вразливості, фішинг чи заражені вебсайти, після чого вимикають системи безпеки та видаляють резервні копії перед шифруванням даних.

Більше того, Embargo застосовує «подвійну ексторсію» — шифрує дані та паралельно викрадає конфіденційну інформацію, погрожуючи її опублікувати або продати на даркнеті. У деяких випадках зловмисники навіть публікують імена конкретних людей, щоб посилити тиск.

За даними TRM Labs, отримані викупи проходять через посередницькі гаманці, ризиковані біржі та навіть підсанкційні платформи, як-от Cryptex.net. Близько $18,8 млн наразі «заморожені» на невідомих адресах — імовірно, для ускладнення відстеження.

Експерти припускають, що Embargo може використовувати штучний інтелект (ШІ) та машинне навчання для масштабування атак, створення реалістичних фішингових повідомлень, автоматичного модифікування шкідливого ПЗ та пришвидшення операцій.

Водночас ті самі технології застосовують і компанії для захисту: від виявлення нетипової активності до автоматичного блокування підозрілих процесів.

Згідно з аналізом, хоча основна мотивація Embargo — фінансова, у деяких інцидентах помічені політичні меседжі, що викликає підозри у можливих зв’язках із державними структурами.

У TRM Labs підкреслили, що розуміння тактик Embargo є критично важливим для підвищення готовності організацій до реагування. Угруповання демонструє, що сучасні ransomware-операції стають технічно складнішими, гнучкішими та здатними швидко еволюціонувати для уникнення викриття.

Нагадаємо, що експерти TRM Labs підрахували, що криптоіндустрія втратила через хакерські зломи $2,1 млрд за перше півріччя 2025 року.

Інформує incrypted.com