블랙캣, 새 이름으로? TRM, 랜섬웨어 그룹이 엠바르고로 리브랜딩했을 가능성 제기

랜섬웨어 그룹 엠바르고(Embargo)는 2024년 4월 출현 이후 다양한 토큰으로 최소 3,420만 달러를 모금한 것으로 나타났다, TRM 랩스에 따르면.

블록체인 분석 기업은 랜섬웨어 그룹의 인프라와 코드 중복이 해체된 BlackCat(ALPHV) 작전의 리브랜딩일 가능성이 높다고 평가했습니다.

이 그룹은 인프라와 협상을 통제하는 동시에 제휴사에 도구를 제공하는 랜섬웨어 서비스(Ransomware-as-a-Service) 모델을 운영하고 있습니다. 미국의 의료, 제조 및 비즈니스 서비스 부문은 다운타임 비용이 크고 랜섬웨어 협상력이 높은 주요 타겟으로 자리 잡았습니다.

피해자에는 American Associated Pharmacies와 여러 지역 병원이 포함되며, 요구 금액은 130만 달러에 달하고 있습니다.

월요일 보도에서 TRM은 과거 BlackCat 지갑과 Embargo 피해자 관련 주소 간의 온체인 연결 고리를 추적했으며, Rust 기반 랜섬웨어 빌드 및 거의 동일한 데이터 유출 사이트 등 오프체인 유사점도 발견했다. 제휴사들은 캠페인 간에 유동적으로 활동하는 것으로 보이며, 이는 RaaS에서 흔히 나타나는 패턴이다.

자금은 일반적으로 중개 지갑을 거쳐 고위험 거래소 및 Cryptex.net과 같은 제재 대상 플랫폼으로 이전되며, 믹서에 대한 과도한 의존을 회피합니다. 약 1,300만 달러가 전 세계 VASP에 도달한 반면, 1,880만 달러는 미확인 지갑에 유휴 상태로 보관되어 있어 탐지를 지연시키고 보다 유리한 이동 조건을 기다리는 것으로 보입니다.

엠바르고(Embargo)는 파일 암호화와 데이터 탈취 및 공개 위협을 결합한 이중 갈취(double extortion)를 사용합니다. TRM은 이 그룹이 피싱 캠페인의 확장, 페이로드 변형, 정찰 가속화를 위해 AI를 실험하고 있을 가능성이 있다고 보고 있습니다. 이러한 전술은 랜섬웨어 운영자들 사이에서 점점 더 흔해지고 있습니다.

미국 의료 분야를 대상으로 한 표적 편중은 랜섬웨어 전략 전반의 변화 양상을 반영합니다. 즉, 운영 중단 위험이 공공 안전에 영향을 미치는 서비스를 공격하여 신속한 금전 지불 압박을 높이는 것입니다.

만약 엠바고가 실제로 새로운 이름을 쓴 블랙캣이라면, 이는 제휴 네트워크와 결제 채널을 유지하면서 법 집행 기관의 집중을 회피하기 위해 설계된 또 다른 고위험 랜섬웨어 전환을 의미할 것입니다. 이 과정에서 암호화폐는 여전히 몸값 결제 및 세탁의 핵심 수단으로 유지될 것입니다.

자세히 읽기: 체이널리시스 보고서에 따르면 2024년 랜섬웨어 피해자들의 지불 거부 증가로 랜섬웨어 지급액이 35% 감소