Хакерская группа Embargo похитила более $34 млн в криптоактивах с апреля 2024 года

• Группа злоумышленников Embargo заставила компании США выплатить около $34,2 млн в криптовалютах.
• Она работает на основе RaaS-модели и предпочитает атаковать фирмы здравоохранения, бизнес-услуг и производства.
• Кроме финансовой цели нападения, хакеры вероятно преследуют и политическую, на что указывает их участие в соответствующих инцидентах.

С апреля 2024 года группа злоумышленников Embargo, работающая по модели «программа-вымогатель (ransomware) как услуга» (RaaS), получила примерно $34,2 млн в криптовалюте от жертв. Среди последних — American Associated Pharmacies, Memorial Hospital and Manor и Weiser Memorial Hospital. Некоторые выкупы достигали $1,3 млн.

Аналитики TRM Labs считают, что Embargo может быть ребрендингом или преемником известной группировки BlackCat (ALPHV). Подозрения основываются на технических совпадениях: использование языка программирования Rust, подобный дизайн сайта для утечек данных и пересечения в криптокошельках.

В отчете объясняется, что группа предоставляет инструменты аффилированным хакерам в обмен на долю от выкупа, сохраняя контроль над ключевыми операциями — инфраструктурой и переговорами с жертвами. Она избегает агрессивной публичности, характерной для других группировок, что помогает дольше оставаться вне поля зрения правоохранителей.

Основные цели Embargo — компании в сфере здравоохранения, бизнес-услуг и производства, особенно в США, где организации, как правило, способны платить более высокие выкупы.

Так, хакеры проникают в сети через незакрытые уязвимости, фишинг или зараженные веб-сайты, после чего отключают системы безопасности и удаляют резервные копии перед шифрованием данных.

Более того, Embargo применяет «двойную эксторсию» — шифрует данные и параллельно похищает конфиденциальную информацию, угрожая ее опубликовать или продать на даркнете. В некоторых случаях злоумышленники даже публикуют имена конкретных людей, чтобы усилить давление.

По данным TRM Labs, полученные выкупы проходят через посреднические кошельки, рискованные биржи и даже подсанкционные платформы, такие как Cryptex.net. Около $18,8 млн пока «заморожены» на неизвестных адресах — вероятно, для усложнения отслеживания.

Эксперты предполагают, что Embargo может использовать искусственный интеллект (ИИ) и машинное обучение для масштабирования атак, создания реалистичных фишинговых сообщений, автоматического модифицирования вредоносного ПО и ускорения операций.

В то же время те же технологии применяют и компании для защиты: от выявления нетипичной активности до автоматической блокировки подозрительных процессов.

Согласно анализу, хотя основная мотивация Embargo — финансовая, в некоторых инцидентах замечены политические месседжи, что вызывает подозрения в возможных связях с государственными структурами.

В TRM Labs подчеркнули, что понимание тактик Embargo является критически важным для повышения готовности организаций к реагированию. Группировка демонстрирует, что современные ransomware-операции становятся технически более сложными, гибкими и способными быстро эволюционировать во избежание разоблачения.

Напомним, что эксперты TRM Labs подсчитали, что криптоиндустрия потеряла из-за хакерских взломов $2,1 млрд за первое полугодие 2025 года.