El ransomware Embargo ha lavado $34.2 millones en criptomonedas desde abril de 2024, atacando principalmente a objetivos del sector salud en EE. UU.
TRM Labs vincula Embargo a BlackCat a través de un código Rust compartido, un diseño de sitio de filtraciones similar y conexiones de billetera.
El grupo utiliza phishing con IA y fallos sin parches para robar datos, cifrar archivos y exigir rescates de hasta $1.3 millones.
Un grupo de ransomware como servicio llamado Embargo ha blanqueado aproximadamente $34.2 millones en criptomonedas desde abril de 2024. Principalmente ha atacado instalaciones de salud en EE. UU. a través de ataques avanzados que exigen rescates de hasta $1.3 millones.
La investigación de TRM Labs sugiere que el grupo podría ser un cambio de nombre de la operación BlackCat, que ya no existe. Las víctimas conocidas incluyen American Associated Pharmacies, Memorial Hospital y Manor en Georgia, y Weiser Memorial Hospital en Idaho.
Operaciones sofisticadas evitan tácticas de alto perfil
Embargo opera bajo un modelo de ransomware como servicio, proporcionando a los afiliados herramientas avanzadas mientras mantiene el control sobre los sistemas centrales y las conversaciones de pago. El grupo evita las tácticas de alto perfil vistas en las campañas de LockBit o Cl0p. Esta estrategia puede ayudarle a eludir a las fuerzas del orden mientras se expande en los sectores de salud, servicios empresariales y manufactura.
El análisis técnico muestra similitudes con BlackCat, incluyendo el uso del lenguaje de programación Rust, diseños de sitios de filtración de datos similares y una infraestructura de billetera compartida. Los fondos de direcciones históricas de BlackCat se han movido a billeteras vinculadas a las víctimas de Embargo.
Los ataques impulsados por IA apuntan a la infraestructura crítica
El grupo utiliza inteligencia artificial y aprendizaje automático para mejorar los ataques y evitar la detección. A menudo explota vulnerabilidades de software sin parches o utiliza correos electrónicos de phishing generados por IA para obtener acceso. Una vez dentro, Embargo despliega herramientas que desactivan las medidas de seguridad y eliminan las opciones de recuperación antes de cifrar archivos.
Aplica una doble extorsión al cifrar y robar datos sensibles. Las víctimas enfrentan amenazas de filtraciones públicas o ventas en la dark web si no se realizan los pagos. Embargo gestiona todas las comunicaciones a través de sus propios sistemas para mantener el control de las negociaciones. Algunos incidentes contienen contenido de temática política, lo que genera preocupación sobre una posible alineación estatal.
Redes de Lavado Complejas que Involucran Intercambios Globales
Embargo blanquea los pagos de rescate a través de redes en capas utilizando billeteras intermediarias, intercambios de alto riesgo y plataformas sancionadas como Cryptex.net. TRM Labs rastreó alrededor de $13.5 millones a través de múltiples proveedores de activos virtuales en todo el mundo. Entre mayo y agosto de 2024, al menos 17 depósitos de más de $1 millón se movieron a través de Cryptex.net.
El grupo evita el uso intensivo de mezcladores o puentes entre cadenas, prefiriendo enrutar fondos a través de múltiples direcciones antes de llegar a los intercambios. Alrededor de 18.8 millones de dólares permanecen en billeteras inactivas, lo que probablemente interrumpa el rastreo o retrase las transferencias por razones estratégicas.
Aumento en las Pérdidas por Cibercrimen en Cripto
La aparición de Embargo se produce en medio del aumento de las pérdidas por cibercrimen. En julio de 2025, las pérdidas relacionadas con hackeos aumentaron un 27.2% a $142 millones en 17 incidentes. La primera mitad de 2025 registró más de $2.2 mil millones en pérdidas de 344 casos. Otros ataques incluyen una violación de $44.2 millones de la bolsa india CoinDCX vinculada al Grupo Lazarus y un exploit de $42 millones en GMX que dejó una recompensa de $5 millones después de la recuperación.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
El Grupo de Ransomware Embargo Lava $34.2M en Cripto Dirigido a Redes de Atención Médica de EE. UU.
El ransomware Embargo ha lavado $34.2 millones en criptomonedas desde abril de 2024, atacando principalmente a objetivos del sector salud en EE. UU.
TRM Labs vincula Embargo a BlackCat a través de un código Rust compartido, un diseño de sitio de filtraciones similar y conexiones de billetera.
El grupo utiliza phishing con IA y fallos sin parches para robar datos, cifrar archivos y exigir rescates de hasta $1.3 millones.
Un grupo de ransomware como servicio llamado Embargo ha blanqueado aproximadamente $34.2 millones en criptomonedas desde abril de 2024. Principalmente ha atacado instalaciones de salud en EE. UU. a través de ataques avanzados que exigen rescates de hasta $1.3 millones.
La investigación de TRM Labs sugiere que el grupo podría ser un cambio de nombre de la operación BlackCat, que ya no existe. Las víctimas conocidas incluyen American Associated Pharmacies, Memorial Hospital y Manor en Georgia, y Weiser Memorial Hospital en Idaho.
Operaciones sofisticadas evitan tácticas de alto perfil
Embargo opera bajo un modelo de ransomware como servicio, proporcionando a los afiliados herramientas avanzadas mientras mantiene el control sobre los sistemas centrales y las conversaciones de pago. El grupo evita las tácticas de alto perfil vistas en las campañas de LockBit o Cl0p. Esta estrategia puede ayudarle a eludir a las fuerzas del orden mientras se expande en los sectores de salud, servicios empresariales y manufactura.
El análisis técnico muestra similitudes con BlackCat, incluyendo el uso del lenguaje de programación Rust, diseños de sitios de filtración de datos similares y una infraestructura de billetera compartida. Los fondos de direcciones históricas de BlackCat se han movido a billeteras vinculadas a las víctimas de Embargo.
Los ataques impulsados por IA apuntan a la infraestructura crítica
El grupo utiliza inteligencia artificial y aprendizaje automático para mejorar los ataques y evitar la detección. A menudo explota vulnerabilidades de software sin parches o utiliza correos electrónicos de phishing generados por IA para obtener acceso. Una vez dentro, Embargo despliega herramientas que desactivan las medidas de seguridad y eliminan las opciones de recuperación antes de cifrar archivos.
Aplica una doble extorsión al cifrar y robar datos sensibles. Las víctimas enfrentan amenazas de filtraciones públicas o ventas en la dark web si no se realizan los pagos. Embargo gestiona todas las comunicaciones a través de sus propios sistemas para mantener el control de las negociaciones. Algunos incidentes contienen contenido de temática política, lo que genera preocupación sobre una posible alineación estatal.
Redes de Lavado Complejas que Involucran Intercambios Globales
Embargo blanquea los pagos de rescate a través de redes en capas utilizando billeteras intermediarias, intercambios de alto riesgo y plataformas sancionadas como Cryptex.net. TRM Labs rastreó alrededor de $13.5 millones a través de múltiples proveedores de activos virtuales en todo el mundo. Entre mayo y agosto de 2024, al menos 17 depósitos de más de $1 millón se movieron a través de Cryptex.net.
El grupo evita el uso intensivo de mezcladores o puentes entre cadenas, prefiriendo enrutar fondos a través de múltiples direcciones antes de llegar a los intercambios. Alrededor de 18.8 millones de dólares permanecen en billeteras inactivas, lo que probablemente interrumpa el rastreo o retrase las transferencias por razones estratégicas.
Aumento en las Pérdidas por Cibercrimen en Cripto
La aparición de Embargo se produce en medio del aumento de las pérdidas por cibercrimen. En julio de 2025, las pérdidas relacionadas con hackeos aumentaron un 27.2% a $142 millones en 17 incidentes. La primera mitad de 2025 registró más de $2.2 mil millones en pérdidas de 344 casos. Otros ataques incluyen una violación de $44.2 millones de la bolsa india CoinDCX vinculada al Grupo Lazarus y un exploit de $42 millones en GMX que dejó una recompensa de $5 millones después de la recuperación.