Introduction à Embargo
Un groupe de ransomware relativement nouveau, connu sous le nom d’Embargo, est devenu un acteur clé dans le cybercrime souterrain, ayant déplacé plus de 34 millions de dollars en paiements de rançon liés à la cryptomonnaie depuis avril 2024. Fonctionnant selon un modèle de ransomware-as-a-service (RaaS), Embargo a ciblé des infrastructures critiques à travers les États-Unis, notamment des hôpitaux et des réseaux pharmaceutiques, selon la société d’intelligence blockchain TRM Labs.
Victimes et méthodes
Parmi les victimes figurent American Associated Pharmacies, l’hôpital Memorial basé en Géorgie et l’hôpital Weiser Memorial dans l’Idaho. Les demandes de rançon auraient atteint jusqu’à 1,3 million de dollars. L’enquête de TRM suggère qu’Embargo pourrait être une version rebaptisée de l’infâme opération BlackCat (ALPHV), qui a disparu suite à un exit scam suspect plus tôt cette année. Les deux groupes partagent des similitudes techniques, utilisant le langage de programmation Rust, opérant des sites de fuite de données similaires et exhibant des liens on-chain à travers une infrastructure de portefeuille partagée.
Cryptomonnaie et tactiques
Embargo détient 18,8 millions de dollars en cryptomonnaie dormante. Environ 18,8 millions de dollars des produits cryptographiques d’Embargo restent dormants dans des portefeuilles non affiliés, une tactique que les experts estiment conçue pour retarder la détection ou exploiter de meilleures conditions de blanchiment à l’avenir. Le groupe utilise un réseau de portefeuilles intermédiaires, d’échanges à haut risque et de plateformes sanctionnées, y compris Cryptex.net, pour obscurcir l’origine des fonds. De mai à août, TRM a retracé au moins 13,5 millions de dollars à travers divers fournisseurs de services d’actifs virtuels, dont plus d’un million de dollars acheminés uniquement via Cryptex.
Tactiques de double extorsion
Bien qu’il ne soit pas aussi agressif que LockBit ou Cl0p, Embargo a adopté des tactiques de double extorsion, encryptant des systèmes et menaçant de divulguer des données sensibles si les victimes ne paient pas. Dans certains cas, le groupe a publiquement nommé des individus ou divulgué des données sur son site pour augmenter la pression. Embargo cible principalement des secteurs où le temps d’arrêt est coûteux, y compris la santé, les services aux entreprises et la fabrication, et a montré une préférence pour les victimes basées aux États-Unis, probablement en raison de leur capacité de paiement plus élevée.
Réponse du Royaume-Uni
Le Royaume-Uni s’apprête à interdire les paiements de rançon pour tous les organismes du secteur public et les opérateurs d’infrastructures nationales critiques, y compris l’énergie, la santé et les conseils locaux. La proposition introduit un régime de prévention exigeant que les victimes en dehors de l’interdiction signalent les paiements de rançon prévus. Le plan comprend également un système de signalement obligatoire, les victimes étant tenues de soumettre un rapport initial au gouvernement dans les 72 heures suivant une attaque et un suivi détaillé dans les 28 jours.
Les ransomwares ont connu une baisse de 35 % des attaques l’année dernière, selon Chainalysis. Cela a marqué la première baisse des revenus des ransomwares depuis 2022, selon le rapport.
