Embargo: новая сила в мире кибервымогателей и её связь с BlackCat
Дата: 2025-08-12 Автор: Henry Casey Категории: БИЗНЕС
Согласно данным TRM Labs, с апреля 2024 года Embargo получила более $34 млн выкупов в криптовалюте. Модель их работы базируется на предоставлении инструментов для атак другим преступникам в обмен на долю от полученных средств. При этом ключевые аспекты операций, включая управление инфраструктурой и ведение переговоров с жертвами, остаются под контролем самой группы.
Исследователи отмечают, что Embargo применяет технологически сложные программы-вымогатели, но при этом избегает броских приёмов, таких как тройное вымогательство или публичное давление на жертв. Такая стратегия помогает им оставаться в тени, минимизируя внимание СМИ и силовых структур.
Главными мишенями Embargo становятся медицинские учреждения, компании в сфере деловых услуг и производственные предприятия — те, для кого простои оборачиваются крупными убытками. Среди жертв числятся American Associated Pharmacies, Memorial Hospital and Manor в Джорджии и Weiser Memorial Hospital в Айдахо. Совокупная сумма их выкупов достигла $1,3 млн.
Хакеры используют для первоначального доступа уязвимости в программном обеспечении, приёмы социальной инженерии, а также фишинговые письма и заражённые сайты.
Возможная преемственность с BlackCat
TRM Labs выдвигает версию, что Embargo может быть перерождённой группировкой BlackCat, известной по использованию шифровальщика ALPHV. В конце 2024 года BlackCat объявила о прекращении деятельности, заявив о вмешательстве ФБР, но официального подтверждения этому не было. В сообществе тогда заговорили об экзит-скаме, а один из участников обвинил коллег в присвоении $22 млн.
Схожесть Embargo и BlackCat прослеживается в нескольких аспектах: использование языка Rust, управление похожими порталами утечки данных и пересечения в ончейн-активности, включая кластеры связанных криптокошельков.
Методы отмывания средств
Embargo применяет сеть промежуточных адресов, сотрудничает с рискованными криптобиржами и подсанкционными платформами, включая Cryptex.net, чтобы замаскировать происхождение средств. Интересно, что криптомиксеры и кроссчейн-мосты они используют редко.
TRM Labs оценивает, что около $18,8 млн доходов группировки остаются без движения на протяжении длительного времени — вероятно, это помогает им не привлекать лишнего внимания.
В контексте этой активности стоит напомнить, что в июле 2025 года экс-сотрудника DigitalMint, компании, помогающей жертвам кибервымогателей, заподозрили в сговоре с преступниками, что подчёркивает глубину связей подобных группировок в индустрии.
