禁运勒索软件集团洗钱3420万美元的加密货币，针对美国医疗网络

Embargo 勒索软件自 2024 年 4 月以来已通过加密货币洗钱 3420 万美元，主要针对美国医疗保健目标。

TRM Labs通过共享Rust代码、类似泄漏网站设计和钱包连接，将Embargo与BlackCat联系起来。

该团伙利用人工智能钓鱼和未修补的漏洞窃取数据，加密文件并要求高达130万美元的赎金。

一个名为 Embargo 的勒索软件即服务集团自 2024 年 4 月以来已洗钱约 3420 万美元的加密货币。它主要通过先进攻击针对美国医疗机构，要求的赎金高达 130 万美元。

TRM Labs的研究表明，该组织可能是已经解散的BlackCat行动的重新品牌。已知的受害者包括美国联合药房、乔治亚州的纪念医院和庄园，以及爱达荷州的威瑟纪念医院。

复杂操作避免高调战术

Embargo 在一种勒索软件即服务的模式下运作，为合作伙伴提供先进的工具，同时保持对核心系统和支付谈判的控制。该组织避免使用 LockBit 或 Cl0p 活动中看到的高调战术。这一策略可能帮助它在扩展到医疗、商业服务和制造业领域的同时逃避执法机构的追踪。

技术分析显示与BlackCat有相似之处，包括使用Rust编程语言、相似的数据泄露网站设计以及共享的钱包基础设施。来自历史BlackCat地址的资金已转移到与Embargo受害者相关的钱包中。

人工智能驱动的攻击瞄准关键基础设施

该组织利用人工智能和机器学习来增强攻击并避免被检测。它通常利用未修补的软件漏洞或使用人工智能生成的网络钓鱼电子邮件来获取访问权限。一旦进入，Embargo 部署工具来禁用安全措施并移除恢复选项，然后加密文件。

它通过加密和窃取敏感数据实施双重勒索。如果不付款，受害者面临公开泄露或黑市销售的威胁。Embargo 通过自己的系统管理所有通信，以保持谈判控制。一些事件包含政治主题内容，引发了对可能的国家对齐的担忧。

涉及全球交易所的复杂洗钱网络

禁运通过分层网络使用中介钱包、高风险交易所和如 Cryptex.net 等受制裁平台清洗赎金支付。TRM Labs 追踪到全球多个虚拟资产提供商的约 1350 万美元。在 2024 年 5 月至 8 月期间，至少 17 笔超过 100 万美元的存款通过 Cryptex.net 移动。

该组织避免大量使用混合器或跨链桥，倾向于通过多个地址转移资金，最后到达交易所。大约1880万美元仍在闲置钱包中，可能出于战略原因，导致追踪困难或延迟转账。

加密货币网络犯罪损失激增

在网络犯罪损失上升之际，Embargo的出现引起了关注。2025年7月，与黑客相关的损失在17起事件中上升了27.2%，达到了1.42亿美元。2025年上半年，共记录了344起案件，损失超过22亿美元。其他攻击包括与Lazarus Group有关的印度交易所CoinDCX的4420万美元泄露，以及一宗导致550万美元悬赏的4200万美元GMX漏洞。