Embargo طی یک سال ۳۴.۲ میلیون دلار از قربانیان سرقت کرد
مفاهیم کلیدی- TRM Labs میگوید Embargo از آوریل 2024 تاکنون 34.2 میلیون دلار سرقت کرده است.
- شواهد فنی و زنجیرهای نشان میدهد Embargo ممکن است بازبرند شده BlackCat باشد؛ هر دو از Rust و طراحیهای افشای داده مشابه استفاده میکنند.
- گروه اهداف عمدهای در حوزه بهداشت و درمان را هدف قرار میدهد و برای پولشویی از صرافیهای پرریسک و پلتفرمهایی مانند Cryptex.net بهره میبرد.
گروه باجافزاری Embargo ظرف یک سال ۳۴.۲ میلیون دلار سرقت کرد
طبق تحقیقات شرکت TRM Labs، گروه باجافزاری Embargo از زمان ظهور خود در آوریل 2024 تا کنون 34.2 میلیون دلار به سرقت برده است.
این گروه قربانیانی در بخشهای خدمات درمانی، خدمات تجاری و تولید را هدف قرار داده است. بیشتر قربانیان در ایالات متحده واقعاند و خواستههای باج در برخی حملات تا 1.3 میلیون دلار نیز رسیده است.
از جمله اهداف عمده این گروه میتوان به American Associated Pharmacies و Memorial Hospital and Manor در جورجیا و همچنین Weiser Memorial Hospital در آیداهو اشاره کرد.
TRM Labs حدود 18.8 میلیون دلار از وجوه قربانیان را شناسایی کرده که در کیفپولهای بدون نسبت مشخص (unattributed wallets) باقی مانده و غیرفعال ماندهاند.
بر اساس شباهتهای فنی و استفاده از زیرساختهای مشترک، TRM Labs معتقد است احتمالاً Embargo نسخه بازبرند شدهای از گروه متوقفشده BlackCat (ALPHV) باشد. هر دو گروه از زبان برنامهنویسی Rust استفاده میکنند و طراحی و عملکرد سایتهای افشای دادهشان تقریباً یکسان است.
تحلیل زنجیرهای نشان داد آدرسهای مرتبط تاریخی با BlackCat ارزهای دیجیتال را به خوشههای کیفپولی که با قربانیان Embargo مرتبط بودند، منتقل کردهاند. این ارتباط نشان میدهد اپراتورهای Embargo ممکن است عملیات BlackCat را به ارث برده یا پس از خروج احتمالی آن در 2024 از آن تکامل یافته باشند.
Embargo به شکل یک مدل باجافزاری بهعنوان-خدمت (Ransomware-as-a-Service) عمل میکند؛ ابزارها را در اختیار همکاران قرار میدهد اما کنترل عملیات اصلی و مذاکرات پرداخت را حفظ میکند. این ساختار به آنها امکان مقیاسپذیری سریع در چندین بخش و منطقه جغرافیایی را میدهد.
این سازمان از پلتفرمهای تحریمشده مانند Cryptex.net، صرافیهای پرریسک و کیفپولهای واسطه برای پاکسازی و شستوشوی ارزهای دیجیتال دزدیدهشده استفاده میکند. بین ماههای می تا آگوست 2024، TRM Labs حدود 13.5 میلیون دلار واریزی را از طریق ارائهدهندگان خدمات دارایی مجازی مختلف رصد کرد که بیش از 1 میلیون دلار از آن از طریق Cryptex.net هدایت شده بود.
Embargo به شدت به میکسرهای ارز دیجیتال اعتماد نمیکند و بهجای آن تراکنشها را در آدرسهای متعدد لایهبندی کرده و سپس مبالغ را مستقیماً به صرافیها واریز میکند. در موارد محدودی نیز از میکسر Wasabi استفاده شده که تنها دو واریزی شناسایی شده است.
اپراتورهای باجافزار عمداً وجوه را در مراحل مختلف فرایند پولشویی پارک میکنند، احتمالاً برای پیچیدهتر کردن ردگیری یا منتظر ماندن تا شرایط مطلوبتر مانند کاهش توجه رسانهای یا کاهش کارمزد شبکه.
Embargo خصوصاً سازمانهای درمانی را هدف قرار میدهد تا از طریق ایجاد اختلال در عملکرد، اهرم فشار بیشتری کسب کند. حملات به حوزه سلامت میتواند بهطور مستقیم روی مراقبت از بیماران تأثیر بگذارد و تبعاتی جانسوز و تهدیدکننده حیات داشته باشد که قربانیان را به پرداخت سریع باج ترغیب میکند.
این گروه از تاکتیک دوگانه اخاذی استفاده میکند؛ یعنی هم فایلها را رمزگذاری میکند و هم دادههای حساس را استخراج میکند. در صورت امتناع از پرداخت، تهدید به انتشار یا فروش دادهها در دارکوب میشود که علاوه بر خسارت مالی، زیانهای اعتباری و پیامدهای نظارتی را برای قربانیان به همراه دارد.
