Einführung in die Ransomware-Gruppe Embargo
Eine relativ neue Ransomware-Gruppe, bekannt als Embargo, hat sich zu einem bedeutenden Akteur im Cybercrime-Untergrund entwickelt und seit April 2024 über 34 Millionen Dollar in kryptowährungsbezogenen Lösegeldzahlungen bewegt. Embargo operiert nach dem Ransomware-as-a-Service (RaaS)-Modell und hat kritische Infrastrukturen in den Vereinigten Staaten angegriffen, darunter Krankenhäuser und pharmazeutische Netzwerke, so die Blockchain-Intelligence-Firma TRM Labs.
Opfer und Lösegeldforderungen
Zu den Opfern zählen American Associated Pharmacies, das in Georgia ansässige Memorial Hospital and Manor sowie das Weiser Memorial Hospital in Idaho. Die Lösegeldforderungen sollen bis zu 1,3 Millionen Dollar betragen haben.
Verbindungen zur BlackCat-Gruppe
TRMs Untersuchung legt nahe, dass Embargo eine umbenannte Version der berüchtigten BlackCat (ALPHV)-Operation sein könnte, die nach einem vermuteten Exit-Scam Anfang dieses Jahres verschwunden ist. Die beiden Gruppen weisen technische Überschneidungen auf, verwenden die Programmiersprache Rust, betreiben ähnliche Datenleck-Websites und zeigen Onchain-Verbindungen durch gemeinsame Wallet-Infrastruktur.
Krypto-Vermögen und Geldwäsche
Embargo hält 18,8 Millionen Dollar in ruhenden Krypto-Vermögen. Etwa 18,8 Millionen Dollar von Embargos Krypto-Einnahmen bleiben in nicht verbundenen Wallets ruhend, eine Taktik, von der Experten glauben, dass sie darauf abzielt, die Entdeckung zu verzögern oder bessere Geldwäschebedingungen in der Zukunft auszunutzen. Die Gruppe nutzt ein Netzwerk von Zwischenwallets, Hochrisiko-Börsen und sanktionierten Plattformen, einschließlich Cryptex.net, um die Herkunft der Gelder zu verschleiern. Von Mai bis August verfolgte TRM mindestens 13,5 Millionen Dollar über verschiedene Anbieter von virtuellen Vermögenswerten und mehr als 1 Million Dollar, die allein über Cryptex geleitet wurden.
Erpressungstaktiken und Zielsektoren
Obwohl Embargo nicht so sichtbar aggressiv ist wie LockBit oder Cl0p, hat die Gruppe doppelte Erpressungstaktiken übernommen, indem sie Systeme verschlüsselt und droht, sensible Daten zu leaken, wenn die Opfer nicht zahlen. In einigen Fällen hat die Gruppe öffentlich Personen benannt oder Daten auf ihrer Website veröffentlicht, um den Druck zu erhöhen. Embargo zielt hauptsächlich auf Sektoren ab, in denen Ausfallzeiten kostspielig sind, darunter Gesundheitswesen, Unternehmensdienstleistungen und Fertigung, und hat eine Vorliebe für US-basierte Opfer gezeigt, wahrscheinlich aufgrund ihrer höheren Zahlungsfähigkeit.
Regulierungsmaßnahmen im Vereinigten Königreich
Das Vereinigte Königreich plant ein Verbot von Ransomware-Zahlungen für alle öffentlichen Körperschaften und Betreiber kritischer nationaler Infrastrukturen, einschließlich Energie, Gesundheitswesen und Kommunalverwaltungen. Der Vorschlag führt ein Präventionsregime ein, das von den Opfern verlangt, beabsichtigte Lösegeldzahlungen außerhalb des Verbots zu melden. Der Plan umfasst auch ein obligatorisches Meldesystem, bei dem die Opfer innerhalb von 72 Stunden nach einem Angriff einen ersten Bericht an die Regierung einreichen und innerhalb von 28 Tagen einen detaillierten Folgebericht vorlegen müssen.
Rückgang der Ransomware-Angriffe
Laut Chainalysis gab es im letzten Jahr einen Rückgang der Ransomware-Angriffe um 35 %. Dies markiert den ersten Rückgang der Ransomware-Einnahmen seit 2022, so der Bericht.
