С апреля 2024 года на киберпреступном горизонте появилась новая группировка-вымогатель Embargo, которая, по оценкам специалистов TRM Labs, уже накопила не менее $34,2 млн в криптоактивах. Исследователи указывают на значительное совпадение инфраструктуры и кода Embargo с ранее закрытой группой BlackCat (ALPHV), что может свидетельствовать о переименовании и продолжении деятельности под новым брендом.
Смена маски: признаки ребрендинга
TRM Labs обнаружила прямые связи между криптовалютными кошельками, ранее ассоциированными с BlackCat, и адресами, на которые поступали платежи от жертв Embargo. Помимо этого, эксперты отмечают схожесть в использовании Rust-базированных вредоносов и практически идентичные сайты для утечек данных. Это указывает на сохранение команды и инструментов, несмотря на смену названия.
Тактика и цели атак
Embargo придерживается модели Ransomware-as-a-Service, предоставляя аффилированным участникам инструменты и контролируя переговоры с жертвами. Основной фокус — организации из США в сферах здравоохранения, производства и бизнес-услуг, где простой критичен и увеличивает давление на пострадавших. Известны случаи, когда выкуп достигал $1,3 млн, а среди жертв — крупные аптечные сети и региональные больницы.
Финансовые потоки и технологии
Группа активно использует промежуточные кошельки и высокорискованные биржи, чтобы затруднить отслеживание средств. Примерно $13 млн уже попали на международные криптоплатформы, а $18,8 млн остаются на неидентифицированных адресах, ожидая подходящего момента для вывода.
Современные методы давления
Embargo практикует двойное вымогательство — сочетая шифрование данных с угрозой публикации украденной информации. TRM также отмечает эксперименты с искусственным интеллектом для автоматизации фишинговых атак и ускорения разведки, что становится трендом среди киберпреступников.
Тенденции рынка вымогателей
Аналитики фиксируют смещение акцента на отрасли, где сбои могут затронуть общественную безопасность, что увеличивает вероятность быстрой выплаты выкупа. Если предположения о переименовании BlackCat подтвердятся, это станет очередной попыткой злоумышленников сохранить доходы и аффилированную сеть, уходя от внимания правоохранительных органов, при этом криптовалюта по-прежнему остается основным инструментом расчетов и отмывания средств.
Комментариев пока нет