Хакерская группа Embargo, действующая по модели «программа-вымогатель как услуга» (RaaS), с апреля 2024 года получила не менее $34,2 млн в криптовалютах в результате атак на компании, преимущественно в США. Жертвами стали, в частности, American Associated Pharmacies, Memorial Hospital and Manor, а также Weiser Memorial Hospital. Отдельные выкупы достигали $1,3 млн.
Об этом сообщает Бизнес • Медиа
Особенности деятельности Embargo и цели атак
Эксперты предполагают, что Embargo может быть преемником или ребрендингом группировки BlackCat (ALPHV). Эта версия основана на общих технических характеристиках: использовании языка программирования Rust, схожем дизайне сайтов для публикации украденных данных и некоторых пересечениях в использовании криптокошельков.
Embargo предоставляет аффилированным хакерам инструменты для осуществления атак, получая долю от выкупа, при этом сохраняя контроль над ключевыми элементами операции — инфраструктурой и переговорами с жертвами. Группа избегает агрессивной публичности, что позволяет ей дольше оставаться вне поля зрения правоохранительных органов.
Основными целями Embargo являются компании в сферах здравоохранения, бизнес-услуг и производства. Выбор именно таких организаций связан с их готовностью платить значительные суммы выкупа.
Тактика атак и инновации в операциях группировки
Хакеры проникают в корпоративные сети через незакрытые уязвимости, фишинговые письма или зараженные вебсайты. После этого они отключают системы безопасности и удаляют резервные копии перед шифрованием данных.
Embargo применяет тактику «двойного вымогательства»: помимо шифрования данных, группа похищает конфиденциальную информацию и шантажирует жертву угрозами ее опубликовать или продать на даркнете. Дополнительное давление создается публикацией имен сотрудников атакованных организаций.
«С апреля 2024 года группа злоумышленников Embargo, работающая по модели «программа-вымогатель (ransomware) как услуга» (RaaS), получила примерно $34,2 млн в криптовалютах от жертв. Среди последних — American Associated Pharmacies, Memorial Hospital and Manor и Weiser Memorial Hospital. Некоторые выкупы достигали $1,3 млн».
По информации аналитиков, полученные выкупы Embargo проводятся через посреднические кошельки, рискованные биржи и санкционные платформы, например Cryptex.net. Состоянием на август 2025 года примерно $18,8 млн остаются «замороженными» на неизвестных адресах, вероятно, для усложнения отслеживания движения средств.
Эксперты считают, что Embargo может использовать искусственный интеллект и машинное обучение для масштабирования атак, создания более реалистичных фишинговых сообщений, автоматической модификации вредоносного программного обеспечения и ускорения операций. В то же время современные компании также применяют такие технологии для выявления аномальной активности и автоматического блокирования подозрительных процессов.
Несмотря на преимущественно финансовую мотивацию, в ряде инцидентов Embargo демонстрировала политические месседжи, что может свидетельствовать о потенциальных связях с государственными структурами.
Аналитики подчеркивают, что понимание тактик и стратегии Embargo является критически важным для повышения киберзащиты организаций, так как современные ransomware-операции становятся все более сложными и адаптируются к новым условиям с целью избежать разоблачения.
Напоминаем, что за первое полугодие 2025 года криптоиндустрия потеряла из-за хакерских взломов $2,1 млрд.