Embargo: нова сила у світі кібервимагачів та її зв'язок з BlackCat
Дата: 2025-08-12 Автор: Henry Casey Категорії: БІЗНЕС
За даними TRM Labs, з квітня 2024 року Embargo отримала понад $34 млн викупів у криптовалюті. Модель їхньої роботи базується на наданні інструментів для атак іншим злочинцям в обмін на частку від отриманих коштів. При цьому ключові аспекти операцій, включаючи управління інфраструктурою та ведення переговорів із жертвами, залишаються під контролем самої групи.
Дослідники відзначають, що Embargo застосовує технологічно складні програми-здирники, але при цьому уникає помітних прийомів, таких як потрійне вимагання або громадський тиск на жертв. Така стратегія допомагає їм залишатися в тіні, мінімізуючи увагу ЗМІ та силових структур.
Головними мішенями Embargo стають медичні установи, компанії у сфері ділових послуг та виробничі підприємства - ті, для кого простої обертаються великими збитками. Серед жертв вважаються American Associated Pharmacies, Memorial Hospital and Manor у Джорджії та Weiser Memorial Hospital в Айдахо. Сукупна сума їх викупів сягнула $1,3 млн.
Хакери використовують для початкового доступу вразливості у програмному забезпеченні, прийоми соціальної інженерії, а також фішингові листи та заражені сайти.
Можлива наступність із BlackCat
TRM Labs висуває версію, що Embargo може бути переродженим угрупуванням BlackCat, відомого з використання шифрувальника ALPHV. Наприкінці 2024 року BlackCat оголосила про припинення діяльності, заявивши про втручання ФБР, але офіційного підтвердження цього не було. У спільноті тоді заговорили про екзит-скаму, а один із учасників звинуватив колег у присвоєнні $22 млн.
Схожість Embargo і BlackCat простежується у кількох аспектах: використання мови Rust, управління схожими порталами витоку даних та перетину в ончейн-активності, включаючи кластери пов'язаних криптогаманців.
Методи відмивання коштів
Embargo застосовує мережу проміжних адрес, співпрацює з ризикованими криптобіржами та підсанкціонними платформами, включаючи Cryptex.net, щоб замаскувати походження коштів. Цікаво, що криптоміксери та кроссчейн-мости вони використовують рідко.
TRM Labs оцінює, що близько $18,8 млн. доходів угруповання залишаються без руху протягом тривалого часу — ймовірно, це допомагає їм не привертати зайвої уваги.
У контексті цієї активності варто нагадати, що в липні 2025 року екс-співробітника DigitalMint, компанії, яка допомагає жертвам кіберзмагачів, запідозрили у змові зі злочинцями, що підкреслює глибину зв'язків подібних угруповань в індустрії.
