Introducción al Ransomware Embargo
Un grupo de ransomware relativamente nuevo, conocido como Embargo, se ha convertido en un actor clave en el submundo del cibercrimen, moviendo más de 34 millones de dólares en pagos de rescate vinculados a criptomonedas desde abril de 2024. Operando bajo un modelo de ransomware como servicio (RaaS), Embargo ha atacado infraestructura crítica en los Estados Unidos, con objetivos que incluyen hospitales y redes farmacéuticas, según la firma de inteligencia blockchain TRM Labs.
Victimas y Demandas de Rescate
Las víctimas incluyen American Associated Pharmacies, el Hospital Memorial de Georgia y el Hospital Memorial Weiser en Idaho. Las demandas de rescate han alcanzado hasta 1.3 millones de dólares.
Relación con BlackCat (ALPHV)
La investigación de TRM sugiere que Embargo podría ser una versión renombrada de la infame operación BlackCat (ALPHV), que desapareció tras un presunto fraude de salida a principios de este año. Ambos grupos comparten similitudes técnicas, utilizando el lenguaje de programación Rust, operando sitios de filtración de datos similares y exhibiendo vínculos en cadena a través de una infraestructura de billetera compartida.
Criptomonedas y Estrategias de Lavado
Embargo mantiene 18.8 millones de dólares en criptomonedas inactivas. Alrededor de 18.8 millones de dólares de los ingresos en criptomonedas de Embargo permanecen inactivos en billeteras no afiliadas, una táctica que los expertos creen que puede estar diseñada para retrasar la detección o aprovechar mejores condiciones de lavado en el futuro. El grupo utiliza una red de billeteras intermediarias, intercambios de alto riesgo y plataformas sancionadas, incluyendo Cryptex.net, para oscurecer el origen de los fondos.
Tácticas de Extorsión
Desde mayo hasta agosto, TRM rastreó al menos 13.5 millones de dólares a través de varios proveedores de servicios de activos virtuales, y más de un millón de dólares canalizados solo a través de Cryptex. Aunque no es tan visiblemente agresivo como LockBit o Cl0p, Embargo ha adoptado tácticas de doble extorsión, cifrando sistemas y amenazando con filtrar datos sensibles si las víctimas no pagan. En algunos casos, el grupo ha nombrado públicamente a individuos o filtrado datos en su sitio para aumentar la presión.
Enfoque en Sectores Críticos
Embargo se dirige principalmente a sectores donde el tiempo de inactividad es costoso, incluyendo atención médica, servicios empresariales y manufactura, y ha mostrado una preferencia por víctimas con sede en EE. UU., probablemente debido a su mayor capacidad de pago.
Regulaciones en el Reino Unido
El Reino Unido está a punto de prohibir los pagos de ransomware para todos los organismos del sector público y operadores de infraestructura nacional crítica, incluyendo energía, atención médica y consejos locales. La propuesta introduce un régimen de prevención que requiere que las víctimas, fuera de la prohibición, informen sobre los pagos de rescate previstos. El plan también incluye un sistema de informes obligatorio, con las víctimas obligadas a presentar un informe inicial al gobierno dentro de las 72 horas posteriores a un ataque y un seguimiento detallado dentro de los 28 días.
Estadísticas de Ataques de Ransomware
El ransomware vio una caída del 35% en ataques el año pasado, según Chainalysis. Esto marcó la primera caída en los ingresos por ransomware desde 2022, según el informe.
