BlackCat Com um Novo Nome? TRM Afirma que o Grupo de Ransomware Pode Ter Mudado para Embargo

O grupo de ransomware Embargo arrecadou pelo menos US$ 34,2 milhões em vários tokens desde seu surgimento em abril de 2024, de acordo com a TRM Labs.

A empresa de análise de blockchain afirma que a infraestrutura e as sobreposições de codificação do grupo de ransomware sugerem que pode ser uma provável reformulação da operação extinta BlackCat (ALPHV).

O grupo opera um modelo de ransomware como serviço, fornecendo ferramentas aos afiliados enquanto controla a infraestrutura e as negociações. O setor de saúde dos EUA, a manufatura e os serviços empresariais têm sido os principais alvos, pois são setores em que o tempo de inatividade é custoso e o poder de negociação do resgate é elevado.

As exigências chegaram a US$ 1,3 milhão, com vítimas incluindo a American Associated Pharmacies e vários hospitais regionais.

Em seu relatório de segunda-feira, a TRM rastreou conexões on-chain entre carteiras históricas da BlackCat e endereços ligados às vítimas do Embargo, além de semelhanças off-chain, como construções de ransomware baseadas em Rust e sites de vazamento de dados quase idênticos. Os afiliados parecem operar de forma fluida entre campanhas, um padrão comum em RaaS.

Os fundos são tipicamente movimentados por meio de carteiras intermediárias para exchanges de alto risco e plataformas sancionadas como a Cryptex.net, evitando a dependência pesada de mixers. Aproximadamente US$ 13 milhões chegaram a VASPs globais, enquanto US$ 18,8 milhões permanecem inativos em carteiras não atribuídas — provavelmente para retardar a detecção e aguardar condições de movimentação mais favoráveis.

Embargo emprega dupla extorsão, combinando criptografia de arquivos com roubo de dados e ameaças de divulgação pública. A TRM acredita que o grupo pode estar experimentando o uso de IA para ampliar campanhas de phishing, modificar cargas úteis e acelerar o reconhecimento — táticas cada vez mais comuns entre operadores de ransomware.

O viés de direcionamento ao setor de saúde dos EUA reflete uma mudança mais ampla na estratégia do ransomware: atingir serviços onde os riscos de interrupção operacional se estendem à segurança pública, aumentando a pressão para o pagamento rápido.

Se Embargo for de fato o BlackCat sob um novo nome, isso representaria mais uma mudança de destaque em ransomware projetada para preservar redes de afiliados e canais de pagamento enquanto evita o foco das autoridades, mantendo a criptomoeda como a via principal para liquidação e lavagem de resgates.

Leia mais: Pagamentos de Ransomware Caem 35% em 2024 à Medida que Mais Vítimas se Recusam a Pagar: Chainalysis