З моменту квітня 2024 року ембарго-вимагачі відмили 34,2 мільйона доларів у криптовалюті, в основному націлившись на медичні установи США.
TRM Labs пов'язує Embargo з BlackCat через спільний код Rust, схожий на дизайн сайту витоку та з'єднання гаманців.
Група використовує штучний інтелект для фішингу та непатчовані вразливості, щоб красти дані, шифрувати файли та вимагати викуп до $1,3 мільйона.
Група програм-вимагачів під назвою Embargo відмила близько 34,2 мільйона доларів у криптовалюті з квітня 2024 року. Вона в основному націлилася на медичні установи США через складні атаки, що вимагали викупів до 1,3 мільйона доларів.
Дослідження TRM Labs вказує на те, що група може бути ребрендингом колишньої операції BlackCat. Відомі жертви включають American Associated Pharmacies, Memorial Hospital і Manor у Джорджії, а також Weiser Memorial Hospital в Айдахо.
Складні операції уникають високопрофільних тактик
Embargo працює на основі моделі програм-вимагачів як послуги, надаючи афілійованим особам розширені інструменти, одночасно зберігаючи контроль над основними системами та переговорами про оплату. Група уникала високопрофільних тактик, які спостерігаються в кампаніях LockBit або Cl0p. Ця стратегія може допомогти їй уникнути правоохоронних органів, розширюючись у сферах охорони здоров'я, бізнес-послуг та виробництва.
Технічний аналіз показує схожість з BlackCat, включаючи використання мови програмування Rust, подібні дизайни сайтів витоку даних та спільну інфраструктуру гаманців. Кошти з історичних адрес BlackCat були переміщені до гаманців, пов'язаних з жертвами Embargo.
Атаки на основі штучного інтелекту націлені на критичну інфраструктуру
Група використовує штучний інтелект та машинне навчання для покращення атак і уникнення виявлення. Вона часто експлуатує неусунуті вразливості програмного забезпечення або використовує згенеровані штучним інтелектом фішингові електронні листи для отримання доступу. Опинившись всередині, Embargo розгортає інструменти, які відключають заходи безпеки та видаляють варіанти відновлення перед шифруванням файлів.
Це застосовує подвійну екстракцію, шифруючи та крадучи чутливі дані. Жертви стикаються з загрозами публічного розкриття або продажу на темному вебі, якщо виплати не будуть зроблені. Embargo керує всіма комунікаціями через свої власні системи, щоб підтримувати контроль над переговорами. Деякі інциденти містять політично тематичний контент, що викликає занепокоєння щодо можливого державного alignment.
Складні мережі відмивання грошей за участю глобальних бірж
Ембарго відмиває викупні платежі через багатошарові мережі, використовуючи проміжні гаманці, високоризикові біржі та санкційні платформи, такі як Cryptex.net. TRM Labs відстежили близько 13,5 мільйона доларів через кілька постачальників віртуальних активів по всьому світу. Між травнем та серпнем 2024 року щонайменше 17 депозитів понад 1 мільйон доларів перемістилися через Cryptex.net.
Група уникає активного використання змішувачів або крос-ланцюгових мостів, віддаючи перевагу маршрутизації коштів через кілька адрес перед їх надходженням на біржі. Приблизно 18,8 мільйона доларів залишаються в бездіяльних гаманцях, імовірно, щоб ускладнити відстеження або затримати перекази з стратегічних причин.
Зростання втрат від кіберзлочинності в криптовалютах
Поява Embargo відбувається на фоні зростаючих втрат від кіберзлочинності. У липні 2025 року втрати, пов'язані з хакерством, зросли на 27,2% до 142 мільйонів доларів США за 17 інцидентами. У першій половині 2025 року було зафіксовано понад 2,2 мільярда доларів США втрат від 344 випадків. Інші атаки включають злом індійської біржі CoinDCX на суму 44,2 мільйона доларів США, пов'язаний з групою Lazarus, і експлуатацію GMX на 42 мільйони доларів США, яка залишила винагороду в 5 мільйонів доларів США після відновлення.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Група-вимагачів Embargo відмиває $34.2M у Крипто, націлюючись на мережі охорони здоров'я США
З моменту квітня 2024 року ембарго-вимагачі відмили 34,2 мільйона доларів у криптовалюті, в основному націлившись на медичні установи США.
TRM Labs пов'язує Embargo з BlackCat через спільний код Rust, схожий на дизайн сайту витоку та з'єднання гаманців.
Група використовує штучний інтелект для фішингу та непатчовані вразливості, щоб красти дані, шифрувати файли та вимагати викуп до $1,3 мільйона.
Група програм-вимагачів під назвою Embargo відмила близько 34,2 мільйона доларів у криптовалюті з квітня 2024 року. Вона в основному націлилася на медичні установи США через складні атаки, що вимагали викупів до 1,3 мільйона доларів.
Дослідження TRM Labs вказує на те, що група може бути ребрендингом колишньої операції BlackCat. Відомі жертви включають American Associated Pharmacies, Memorial Hospital і Manor у Джорджії, а також Weiser Memorial Hospital в Айдахо.
Складні операції уникають високопрофільних тактик
Embargo працює на основі моделі програм-вимагачів як послуги, надаючи афілійованим особам розширені інструменти, одночасно зберігаючи контроль над основними системами та переговорами про оплату. Група уникала високопрофільних тактик, які спостерігаються в кампаніях LockBit або Cl0p. Ця стратегія може допомогти їй уникнути правоохоронних органів, розширюючись у сферах охорони здоров'я, бізнес-послуг та виробництва.
Технічний аналіз показує схожість з BlackCat, включаючи використання мови програмування Rust, подібні дизайни сайтів витоку даних та спільну інфраструктуру гаманців. Кошти з історичних адрес BlackCat були переміщені до гаманців, пов'язаних з жертвами Embargo.
Атаки на основі штучного інтелекту націлені на критичну інфраструктуру
Група використовує штучний інтелект та машинне навчання для покращення атак і уникнення виявлення. Вона часто експлуатує неусунуті вразливості програмного забезпечення або використовує згенеровані штучним інтелектом фішингові електронні листи для отримання доступу. Опинившись всередині, Embargo розгортає інструменти, які відключають заходи безпеки та видаляють варіанти відновлення перед шифруванням файлів.
Це застосовує подвійну екстракцію, шифруючи та крадучи чутливі дані. Жертви стикаються з загрозами публічного розкриття або продажу на темному вебі, якщо виплати не будуть зроблені. Embargo керує всіма комунікаціями через свої власні системи, щоб підтримувати контроль над переговорами. Деякі інциденти містять політично тематичний контент, що викликає занепокоєння щодо можливого державного alignment.
Складні мережі відмивання грошей за участю глобальних бірж
Ембарго відмиває викупні платежі через багатошарові мережі, використовуючи проміжні гаманці, високоризикові біржі та санкційні платформи, такі як Cryptex.net. TRM Labs відстежили близько 13,5 мільйона доларів через кілька постачальників віртуальних активів по всьому світу. Між травнем та серпнем 2024 року щонайменше 17 депозитів понад 1 мільйон доларів перемістилися через Cryptex.net.
Група уникає активного використання змішувачів або крос-ланцюгових мостів, віддаючи перевагу маршрутизації коштів через кілька адрес перед їх надходженням на біржі. Приблизно 18,8 мільйона доларів залишаються в бездіяльних гаманцях, імовірно, щоб ускладнити відстеження або затримати перекази з стратегічних причин.
Зростання втрат від кіберзлочинності в криптовалютах
Поява Embargo відбувається на фоні зростаючих втрат від кіберзлочинності. У липні 2025 року втрати, пов'язані з хакерством, зросли на 27,2% до 142 мільйонів доларів США за 17 інцидентами. У першій половині 2025 року було зафіксовано понад 2,2 мільярда доларів США втрат від 344 випадків. Інші атаки включають злом індійської біржі CoinDCX на суму 44,2 мільйона доларів США, пов'язаний з групою Lazarus, і експлуатацію GMX на 42 мільйони доларів США, яка залишила винагороду в 5 мільйонів доларів США після відновлення.