BlackCat с новым именем? TRM утверждает, что группа вымогателей могла сменить название на Embargo

Группа вымогателей Embargo привлекла по меньшей мере 34,2 миллиона долларов в различных токенах с момента своего появления в апреле 2024 года, согласно данным TRM Labs .

Компания по анализу блокчейна утверждает, что пересечения в инфраструктуре и кодировании группировки, занимающейся программами-вымогателями, указывают на возможное ребрендинг прекращённой операции BlackCat (ALPHV).

Группа работает по модели вымогательства как услуги (ransomware-as-a-service), предоставляя партнёрам инструменты при одновременном контроле инфраструктуры и переговоров. Основными целями становились здравоохранение, производство и бизнес-сервисы в США — секторы, где простой крайне затратен, а давление для выкупа высоко.

Требования достигли 1,3 миллиона долларов, пострадавшими являются American Associated Pharmacies и несколько региональных больниц.

В своем отчете, опубликованном в понедельник, TRM проследила ончейн-связи между историческими кошельками BlackCat и адресами, связанными с жертвами Embargo, а также оффчейн-сходства, такие как вредоносные программы-вымогатели на базе Rust и практически идентичные сайты с утечкой данных. Партнеры, судя по всему, работают гибко между кампаниями, что является распространенной моделью RaaS.

Средства обычно перемещаются через промежуточные кошельки на высокорисковые биржи и санкционированные платформы, такие как Cryptex.net, обходя при этом широкое использование миксеров. Около 13 миллионов долларов поступило на глобальные VASP, в то время как 18,8 миллиона долларов остаются неактивными на неприписанных кошельках — вероятно, с целью замедлить обнаружение и ожидать более благоприятных условий для перемещения.

Группа Embargo использует двойное вымогательство, сочетая шифрование файлов с кражей данных и угрозами их публичной утечки. Компания TRM полагает, что группа может экспериментировать с ИИ для масштабирования фишинговых кампаний, мутации вредоносных нагрузок и ускорения разведки — тактики, которые становятся все более распространёнными среди операторов рансомваре.

Сфокусированность на американском секторе здравоохранения отражает более широкую смену стратегии в области программ-вымогателей: наносить удары по службам, где нарушение операционной деятельности несет риски для общественной безопасности, что увеличивает давление на быструю оплату.

Если Embargo действительно является BlackCat под новым именем, это станет еще одним громким поворотом в работе программы-вымогателя, направленным на сохранение партнерских сетей и каналов оплаты при одновременном избежании внимания правоохранительных органов, при этом криптовалюта остается основным инструментом для расчета и отмывания выкупа.

Читайте также: Платежи по программам-вымогателям снизились на 35% в 2024 году, поскольку все больше жертв отказываются платить: Chainalysis