BlackCat mit neuem Namen? TRM zufolge könnte die Ransomware-Gruppe sich in Embargo umbenannt haben

Die Ransomware-Gruppe Embargo hat seit ihrem Auftauchen im April 2024 mindestens 34,2 Millionen US-Dollar in verschiedenen Token eingenommen, laut TRM Labs.

Das Blockchain-Analyseunternehmen erklärt, dass die Überschneidungen in der Infrastruktur und Programmierung der Ransomware-Gruppe darauf hindeuten, dass es sich vermutlich um ein Rebranding der nicht mehr aktiven BlackCat (ALPHV)-Operation handelt.

Die Gruppe betreibt ein Ransomware-as-a-Service-Modell, bei dem sie Affiliates mit Werkzeugen ausstattet und gleichzeitig die Infrastruktur sowie die Verhandlungen kontrolliert. Der US-amerikanische Gesundheitssektor, die Fertigungsindustrie und Geschäftsdienstleistungen waren primäre Ziele, da in diesen Branchen Ausfallzeiten kostspielig sind und ein hohes Lösegeldpotenzial besteht.

Die Forderungen haben 1,3 Millionen US-Dollar erreicht, wobei unter den Opfern American Associated Pharmacies und mehrere regionale Krankenhäuser sind.

In seinem Bericht vom Montag verfolgte TRM On-Chain-Verbindungen zwischen historischen BlackCat-Wallets und Adressen, die mit Embargo-Opfern in Zusammenhang stehen, sowie Off-Chain-Ähnlichkeiten wie Rust-basierte Ransomware-Builds und nahezu identische Datenleck-Websites. Affiliates scheinen flexibel zwischen Kampagnen zu agieren, ein häufiges Muster bei RaaS.

Funds werden typischerweise über Zwischenwallets in risikoreiche Börsen und sanktionierte Plattformen wie Cryptex.net transferiert, wobei eine starke Abhängigkeit von Mixern vermieden wird. Etwa 13 Millionen US-Dollar sind bei globalen VASPs eingegangen, während 18,8 Millionen US-Dollar in nicht zugeordneten Wallets ruhen — vermutlich um die Erkennung zu verzögern und günstigere Bewegungsbedingungen abzuwarten.

Embargo setzt auf doppelte Erpressung, indem es Dateiverschlüsselung mit Datendiebstahl und der Androhung öffentlicher Veröffentlichung kombiniert. TRM vermutet, dass die Gruppe möglicherweise KI einsetzt, um Phishing-Kampagnen zu skalieren, Payloads zu verändern und die Aufklärung zu beschleunigen – Taktiken, die bei Ransomware-Betreibern zunehmend üblich sind.

Die gezielte Ausrichtung auf das US-Gesundheitssystem spiegelt einen breiteren Wandel in der Ransomware-Strategie wider: Es werden Dienstleistungen angegriffen, bei denen Betriebsstörungen Risiken für die öffentliche Sicherheit mit sich bringen, was den Druck erhöht, rasch zu zahlen.

Wenn Embargo tatsächlich BlackCat unter einem neuen Namen ist, würde dies einen weiteren hochkarätigen Ransomware-Strategiewechsel darstellen, der darauf abzielt, Partnernetzwerke und Zahlungskanäle zu erhalten, während der Fokus der Strafverfolgungsbehörden umgangen wird, wobei Krypto als zentrales Mittel für Lösegeldzahlungen und Geldwäsche beibehalten wird.

Weiterlesen: Die Zahl der Lösegeldzahlungen sank 2024 um 35 %, da immer mehr Opfer die Zahlung verweigern: Chainalysis