Вредоносное ПО Embargo отмыло 34,2 миллиона долларов в криптовалюте с апреля 2024 года, в основном нацеливаясь на объекты здравоохранения США.
TRM Labs связывает Embargo с BlackCat через общий Rust код, похожий на дизайн сайта утечки и подключения кошельков.
Группа использует фишинг на основе ИИ и незапатченные уязвимости для кражи данных, шифрования файлов и требования выкупа до 1,3 миллиона долларов.
Группа программ-вымогателей как услуга под названием Embargo отмыла около 34,2 миллиона долларов в криптовалюте с апреля 2024 года. Она в основном нацелилась на медицинские учреждения США через сложные атаки, требующие выкупа до 1,3 миллиона долларов.
Исследование TRM Labs предполагает, что группа может быть ребрендингом несуществующей операции BlackCat. Известные жертвы включают American Associated Pharmacies, Memorial Hospital и Manor в Джорджии, а также Weiser Memorial Hospital в Айдахо.
Сложные операции избегают высокопрофильных тактик
Embargo работает по модели программного обеспечения-в-услугу, предоставляя партнерам передовые инструменты, сохраняя при этом контроль над основными системами и переговорами о платежах. Группа избегает высокопрофильных тактик, наблюдаемых в кампаниях LockBit или Cl0p. Эта стратегия может помочь ей избежать правоохранительных органов, расширяясь в секторах здравоохранения, бизнес-услуг и производства.
Технический анализ показывает сходства с BlackCat, включая использование языка программирования Rust, схожие дизайны сайтов утечек данных и общую инфраструктуру кошельков. Средства с исторических адресов BlackCat были переведены на кошельки, связанные с жертвами Embargo.
Атаки на основе ИИ нацелены на критическую инфраструктуру
Группа использует искусственный интеллект и машинное обучение для улучшения атак и избежания обнаружения. Она часто использует неустраненные уязвимости программного обеспечения или использует сгенерированные ИИ фишинговые письма для получения доступа. Оказавшись внутри, Embargo разворачивает инструменты, которые отключают меры безопасности и удаляют варианты восстановления перед шифрованием файлов.
Он применяет двойное вымогательство, как шифруя, так и盗ая конфиденциальные данные. Жертвы сталкиваются с угрозами публичных утечек или продаж в даркнете, если платежи не будут произведены. Embargo управляет всеми коммуникациями через свои собственные системы, чтобы поддерживать контроль над переговорами. Некоторые инциденты содержат политически окрашенный контент, вызывая опасения по поводу возможной государственной привязанности.
Сложные схемы отмывания денег, связанные с глобальными обменами
Эмбарго отмывает выплаты выкупа через многослойные сети, используя промежуточные кошельки, высокорисковые биржи и санкционные платформы, такие как Cryptex.net. TRM Labs отслеживала около 13,5 миллиона долларов через несколько провайдеров виртуальных активов по всему миру. С мая по август 2024 года через Cryptex.net прошло как минимум 17 депозитов на сумму более 1 миллиона долларов.
Группа избегает активного использования миксеров или кросс-цепочных мостов, предпочитая направлять средства через несколько адресов перед тем, как они попадают на биржи. Около 18,8 миллиона долларов остается в спящих кошельках, что, вероятно, затруднит отслеживание или задержит переводы по стратегическим причинам.
Рост убытков от киберпреступности в криптовалюте
Появление Embargo происходит на фоне растущих убытков от киберпреступлений. В июле 2025 года убытки, связанные с хакерскими атаками, увеличились на 27,2% и составили 142 миллиона долларов по 17 инцидентам. В первой половине 2025 года было зафиксировано более 2,2 миллиарда долларов убытков по 344 случаям. Другие атаки включают в себя нарушение безопасности индийской биржи CoinDCX на 44,2 миллиона долларов, связанное с группой Lazarus, и эксплуатацию GMX на 42 миллиона долларов, оставившую вознаграждение в 5 миллионов долларов после восстановления.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Группа-вымогатель Embargo отмыла 34,2 миллиона долларов в Крипто, нацелившись на сети здравоохранения США
Вредоносное ПО Embargo отмыло 34,2 миллиона долларов в криптовалюте с апреля 2024 года, в основном нацеливаясь на объекты здравоохранения США.
TRM Labs связывает Embargo с BlackCat через общий Rust код, похожий на дизайн сайта утечки и подключения кошельков.
Группа использует фишинг на основе ИИ и незапатченные уязвимости для кражи данных, шифрования файлов и требования выкупа до 1,3 миллиона долларов.
Группа программ-вымогателей как услуга под названием Embargo отмыла около 34,2 миллиона долларов в криптовалюте с апреля 2024 года. Она в основном нацелилась на медицинские учреждения США через сложные атаки, требующие выкупа до 1,3 миллиона долларов.
Исследование TRM Labs предполагает, что группа может быть ребрендингом несуществующей операции BlackCat. Известные жертвы включают American Associated Pharmacies, Memorial Hospital и Manor в Джорджии, а также Weiser Memorial Hospital в Айдахо.
Сложные операции избегают высокопрофильных тактик
Embargo работает по модели программного обеспечения-в-услугу, предоставляя партнерам передовые инструменты, сохраняя при этом контроль над основными системами и переговорами о платежах. Группа избегает высокопрофильных тактик, наблюдаемых в кампаниях LockBit или Cl0p. Эта стратегия может помочь ей избежать правоохранительных органов, расширяясь в секторах здравоохранения, бизнес-услуг и производства.
Технический анализ показывает сходства с BlackCat, включая использование языка программирования Rust, схожие дизайны сайтов утечек данных и общую инфраструктуру кошельков. Средства с исторических адресов BlackCat были переведены на кошельки, связанные с жертвами Embargo.
Атаки на основе ИИ нацелены на критическую инфраструктуру
Группа использует искусственный интеллект и машинное обучение для улучшения атак и избежания обнаружения. Она часто использует неустраненные уязвимости программного обеспечения или использует сгенерированные ИИ фишинговые письма для получения доступа. Оказавшись внутри, Embargo разворачивает инструменты, которые отключают меры безопасности и удаляют варианты восстановления перед шифрованием файлов.
Он применяет двойное вымогательство, как шифруя, так и盗ая конфиденциальные данные. Жертвы сталкиваются с угрозами публичных утечек или продаж в даркнете, если платежи не будут произведены. Embargo управляет всеми коммуникациями через свои собственные системы, чтобы поддерживать контроль над переговорами. Некоторые инциденты содержат политически окрашенный контент, вызывая опасения по поводу возможной государственной привязанности.
Сложные схемы отмывания денег, связанные с глобальными обменами
Эмбарго отмывает выплаты выкупа через многослойные сети, используя промежуточные кошельки, высокорисковые биржи и санкционные платформы, такие как Cryptex.net. TRM Labs отслеживала около 13,5 миллиона долларов через несколько провайдеров виртуальных активов по всему миру. С мая по август 2024 года через Cryptex.net прошло как минимум 17 депозитов на сумму более 1 миллиона долларов.
Группа избегает активного использования миксеров или кросс-цепочных мостов, предпочитая направлять средства через несколько адресов перед тем, как они попадают на биржи. Около 18,8 миллиона долларов остается в спящих кошельках, что, вероятно, затруднит отслеживание или задержит переводы по стратегическим причинам.
Рост убытков от киберпреступности в криптовалюте
Появление Embargo происходит на фоне растущих убытков от киберпреступлений. В июле 2025 года убытки, связанные с хакерскими атаками, увеличились на 27,2% и составили 142 миллиона долларов по 17 инцидентам. В первой половине 2025 года было зафиксировано более 2,2 миллиарда долларов убытков по 344 случаям. Другие атаки включают в себя нарушение безопасности индийской биржи CoinDCX на 44,2 миллиона долларов, связанное с группой Lazarus, и эксплуатацию GMX на 42 миллиона долларов, оставившую вознаграждение в 5 миллионов долларов после восстановления.