Хакерська група Embargo, що діє за моделлю «програма-вимагач як послуга» (RaaS), з квітня 2024 року отримала щонайменше $34,2 млн у криптовалютах внаслідок атак на компанії, переважно у США. Жертвами стали зокрема American Associated Pharmacies, Memorial Hospital and Manor, а також Weiser Memorial Hospital. Окремі викупи сягали $1,3 млн.
Про це розповідає Бізнес • Медіа
Особливості діяльності Embargo та цілі атак
Експерти припускають, що Embargo може бути наступником або ребрендингом угруповання BlackCat (ALPHV). Ця версія базується на спільних технічних характеристиках: застосування мови програмування Rust, схожий дизайн сайтів для публікації викрадених даних і деякі перетини у використанні криптогаманців.
Embargo надає афілійованим хакерам інструменти для здійснення атак, отримуючи частку від викупу, водночас зберігаючи контроль над ключовими елементами операції — інфраструктурою та переговорами з жертвами. Група уникає агресивної публічності, що дозволяє їй довше залишатися поза увагою правоохоронців.
Основними цілями Embargo є компанії у сферах охорони здоров’я, бізнес-послуг і виробництва. Вибір саме таких організацій пов’язаний із їхньою готовністю платити значні суми викупу.
Тактика атак та інновації в операціях угруповання
Хакери проникають у корпоративні мережі через незакриті вразливості, фішингові листи або заражені вебсайти. Після цього вони вимикають системи безпеки та видаляють резервні копії перед шифруванням даних.
Embargo застосовує тактику «подвійної ексторсії»: окрім шифрування даних, група викрадає конфіденційну інформацію і шантажує жертву погрозами її опублікувати чи продати на даркнеті. Додатковий тиск створюється публікацією імен співробітників атакованих організацій.
“З квітня 2024 року група зловмисників Embargo, що працює за моделлю «програма-вимагач (ransomware) як послуга» (RaaS), отримала приблизно $34,2 млн у криптовалютах від жертв. Серед останніх — American Associated Pharmacies, Memorial Hospital and Manor та Weiser Memorial Hospital. Деякі викупи сягали $1,3 млн”.
За інформацією аналітиків, отримані викупи Embargo проводяться через посередницькі гаманці, ризиковані біржі та санкційні платформи, наприклад Cryptex.net. Станом на серпень 2025 року приблизно $18,8 млн залишаються «замороженими» на невідомих адресах, ймовірно, задля ускладнення відстеження руху коштів.
Експерти вважають, що Embargo може використовувати штучний інтелект і машинне навчання для масштабування атак, створення більш реалістичних фішингових повідомлень, автоматичної модифікації шкідливого програмного забезпечення та прискорення операцій. Водночас сучасні компанії також застосовують такі технології для виявлення аномальної активності й автоматичного блокування підозрілих процесів.
Попри переважно фінансову мотивацію, у низці інцидентів Embargo демонструвала політичні меседжі, що може свідчити про потенційні зв’язки з державними структурами.
Аналітики підкреслюють, що розуміння тактик і стратегії Embargo є критично важливим для підвищення кіберзахисту організацій, адже сучасні ransomware-операції стають дедалі складнішими та пристосовуються до нових умов з метою уникнення викриття.
Нагадаємо, за перше півріччя 2025 року криптоіндустрія втратила через хакерські зломи $2,1 млрд.