Хакерская группировка Embargo, действующая по модели «программа-вымогатель как услуга» (RaaS), с апреля 2024 года получила от своих жертв более $34,2 млн в криптовалютах. Основными целями стали компании в сфере здравоохранения, бизнес-услуг и производства, в частности American Associated Pharmacies, Memorial Hospital and Manor и Weiser Memorial Hospital. Известно, что некоторые выкупы достигали $1,3 млн.
Об этом сообщает ProIT
Технические особенности и методы атаки Embargo
По информации аналитиков TRM Labs, Embargo может быть ребрендингом или преемником известной группы BlackCat (ALPHV). Такой вывод сделан из-за схожести технических подходов: использование языка программирования Rust, подобный интерфейс сайтов для утечки данных и пересечения в криптокошельках. Группа предоставляет инструменты аффилированным хакерам в обмен на часть выкупа, одновременно сохраняя контроль над ключевой инфраструктурой и переговорами с жертвами. Embargo старается избегать излишней публичности, что позволяет ей дольше оставаться вне поля зрения правоохранительных органов.
Прежде всего, Embargo атакует те компании, которые способны выплачивать значительные выкупы, особенно в США. Хакеры проникают в корпоративные сети через незакрытые уязвимости, фишинговые кампании или зараженные вебсайты. После получения доступа они отключают системы безопасности и удаляют резервные копии перед шифрованием данных.
«Двойная экстракция» и использование инноваций
Embargo активно применяет тактику «двойной экстракции»: помимо шифрования данных, злоумышленники похищают конфиденциальную информацию и угрожают ее обнародовать или продать на даркнете. В ряде случаев для дополнительного давления публиковались имена конкретных лиц.
«Около $18,8 млн в настоящее время “заморожены” на неизвестных адресах — вероятно, для усложнения отслеживания».
Выкуп, полученный в криптовалютах, Embargo проводит через сложные цепочки посреднических кошельков, рискованных бирж и даже санкционных платформ, таких как Cryptex.net. Это усложняет отслеживание движения средств для правоохранительных органов.
Эксперты подозревают, что Embargo использует технологии искусственного интеллекта и машинного обучения для масштабирования атак, автоматического создания фишинговых писем, модификации вредоносного ПО и ускорения операций. В то же время современные компании также внедряют ИИ для защиты — от выявления аномальной активности до автоматического блокирования подозрительных действий.
Несмотря на финансовую мотивацию, в некоторых инцидентах у Embargo замечены политические месседжи, что может свидетельствовать о вероятных связях с государственными структурами. Аналитики подчеркивают, что детальное понимание тактик группировки является критически важным для повышения уровня киберзащищенности компаний. Embargo демонстрирует, что современные ransomware-операции становятся все более сложными, гибкими и быстро эволюционируют для избегания разоблачения.
По подсчетам TRM Labs, в первой половине 2025 года криптоиндустрия потеряла $2,1 млрд из-за хакерских взломов.