Uusi Ransomware-ryhmä: Embargo
Relatiivisesti uusi ransomware-ryhmä, joka tunnetaan nimellä Embargo, on noussut keskeiseksi toimijaksi kyberrikollisuuden alamaailmassa siirtäen yli 34 miljoonaa dollaria kryptovaluuttaan liittyviä lunnaiden maksamisia huhtikuusta 2024 lähtien. Toimien ransomware-as-a-service (RaaS) -mallin mukaisesti, Embargo on iskenyt kriittiseen infrastruktuuriin Yhdysvalloissa, kohteinaan muun muassa sairaalat ja lääketeollisuuden verkostot, kertoo lohkoketjutiedusteluyritys TRM Labs.
Uhrit ja Lunnasvaatimukset
Uhrit sisältävät American Associated Pharmacies, Georgian osavaltiossa sijaitsevan Memorial Hospital and Manor -sairaalan sekä Weiser Memorial Hospitalin Idahossa. Lunnaiden vaatimukset ovat raportoidusti nousseet jopa 1,3 miljoonaan dollariin.
TRM:n tutkimus viittaa siihen, että Embargo saattaa olla uudelleenbrändätty versio infameista BlackCat (ALPHV) -toiminnoista, jotka katosivat epäillyn poistumishuijauksen jälkeen aiemmin tänä vuonna.
Näillä kahdella ryhmällä on teknistä päällekkäisyyttä, sillä ne käyttävät Rust-ohjelmointikieltä, toimivat samankaltaisilla tietovuotosivustoilla ja osoittavat on-chain-yhteyksiä jakamalla lompakkoinfrastruktuuria.
Kryptovaluutan Käyttö
Embargo pitää 18,8 miljoonaa dollaria käyttämättömässä kryptovaluutassa. Noin 18,8 miljoonaa dollaria Embargon kryptotuotoista pysyy käyttämättömänä ei-liitettyissä lompakoissa, taktiikka, jonka asiantuntijat uskovat olevan suunniteltu viivyttämään havaintoa tai hyödyntämään parempia rahanpesuolosuhteita tulevaisuudessa. Ryhmä käyttää välilompakkoverkostoa, korkean riskin pörssejä ja pakotettuja alustoja, mukaan lukien Cryptex.net, peittääkseen varojen alkuperän.
Touko-elokuussa TRM jäljitti vähintään 13,5 miljoonaa dollaria eri virtuaalisten omaisuuspalveluntarjoajien kautta ja yli miljoona dollaria, joka kulki vain Cryptexin kautta. Vaikka Embargo ei ole yhtä näkyvästi aggressiivinen kuin LockBit tai Cl0p, se on omaksunut kaksoislunnasmenettelyt, salaten järjestelmiä ja uhkaamalla vuotaa arkaluontoisia tietoja, jos uhrit eivät maksa.
Joissakin tapauksissa ryhmä on nimennyt julkisesti yksilöitä tai vuotanut tietoja sivustollaan painostaakseen uhreja. Embargo kohdistaa ensisijaisesti aloja, joissa seisokit ovat kalliita, mukaan lukien terveydenhuolto, liiketoimintapalvelut ja valmistus, ja on osoittanut mieltymyksen Yhdysvalloissa sijaitseviin uhreihin, todennäköisesti niiden korkeamman maksukyvyn vuoksi.
Yhdistyneen Kuningaskunnan Toimet
Yhdistynyt kuningaskunta aikoo kieltää ransomware-maksut kaikilta julkisen sektorin elimiltä ja kriittisen kansallisen infrastruktuurin toimijoilta, mukaan lukien energia, terveydenhuolto ja paikalliset neuvostot. Ehdotus tuo mukanaan ennaltaehkäisyjärjestelmän, joka vaatii uhreja, jotka eivät kuulu kieltoon, raportoimaan aiotut lunnaiden maksut.
Suunnitelma sisältää myös pakollisen raportointijärjestelmän, jossa uhreja vaaditaan toimittamaan alkuperäinen raportti hallitukselle 72 tunnin kuluessa hyökkäyksestä ja yksityiskohtainen seurantaraportti 28 päivän kuluessa.
