Хакеры Embargo: новые горизонты вымогательства и связь с BlackCat

Группировка вымогателей Embargo зарекомендовала себя как один из главных игроков в теневом секторе RaaS (вымогательство как услуга). Согласно отчету TRM Labs, с апреля 2024 года хакеры получили более $34 миллионов в форме выкупов, оплаченных криптовалютой.

По информации исследователей, данная группа предоставляет преступникам необходимые инструменты для эксплуатации уязвимостей в обмен на процент от выкупа. При этом Embargo сохраняет контроль над ключевыми аспектами операций, включая управление инфраструктурой и ведение переговоров по выплатам.

«Embargo применяет высокоэффективные и агрессивные программы-вымогатели, однако избегает активного брендинга и использования заметных тактик, в отличие от других известных группировок, занимающихся тройным вымогательством и преследованием жертв. Такая осторожность, вероятно, помогает им избегать внимания со стороны правоохранительных органов и СМИ», — отмечают эксперты TRM Labs.

Основными целями киберпреступников становятся организации в сферах здравоохранения, деловых услуг и производства, где простоев иногда обходятся крайне дорого.

Среди известных жертв – сеть аптек American Associated Pharmacies, Memorial Hospital and Manor в Джорджии и Weiser Memorial Hospital в Айдахо. Совокупные требования выкупа от этих организаций составили $1,3 миллиона.

Чаще всего Embargo получает первоначальный доступ через уязвимости в программном обеспечении, методы социальной инженерии, а также при помощи фишинговых писем и вредоносных веб-сайтов.

Аналитики TRM Labs предполагают, что группа Embargo могла быть переименованной версией BlackCat, которая была известна распространением программы-шифровальщика ALPHV.

В 2024 году хакеры объявили о закрытии своего проекта из-за слухов о том, что ФБР якобы изъяло их инфраструктуру, хотя официальная информация от правоохранительных органов по этому поводу отсутствует. В результате появились слухи о потенциальном экзит-скаме, а один из участников группы обвинил других членов в краже $22 миллионов от полученных выкупов.

Исследователи обнаружили общие технические характеристики между группировками: использование языка программирования Rust, схожие сайты для утечки данных и ончейн-связи через кластеры кошельков.

Для сокрытия источника своих средств, Embargo использует сеть промежуточных адресов, высокорискованные биржи и подсанкционные платформы, такие как Cryptex.net. При этом хакеры не часто прибегают к использованию криптомиксеров и кроссчейн-мостов.

Ученые зафиксировали около $18,8 миллиона преступных доходов группировки, которые долгое время остаются неактивными. Эта тактика, вероятно, помогает им избегать излишнего внимания.

Напоминаем, что в июле 2025 года бывшему сотруднику компании DigitalMint, специализирующейся на помощи жертвам программ-вымогателей, было высказано подозрение в сговоре с хакерами.