Embargoランサムウェアグループ、1年以内に3420万ドルを獲得：TRM Labs

TRMラボの調査によると、Embargoランサムウェアグループは2024年4月に出現して以来、医療、ビジネスサービス、製造業界の被害者を標的に3420万ドルを盗んでいます。

被害者の大半は米国に所在し、身代金要求は1回の攻撃あたり最大130万ドルに達しています。

このサイバー犯罪グループは、American Associated Pharmacies、ジョージア州のMemorial Hospital and Manor、アイダホ州のWeiser Memorial Hospitalなどの主要標的を攻撃しています。

TRMラボは、未特定のウォレットに眠ったままの被害者資金約1880万ドルを特定しました。

BlackCatとの関連が疑われる

TRMラボによると、技術的類似性と共有インフラストラクチャに基づき、Embargoは defunct BlackCat（ALPHV）ランサムウェアグループのリブランド版である可能性があります。

両グループはRustプログラミング言語を使用し、ほぼ同一のデータリークサイトのデザインと機能を維持しています。

オンチェーン分析により、過去のBlackCat関連アドレスがEmbargo被害者に関連するウォレットクラスターに暗号資産を流していたことが明らかになりました。

この関連性は、Embargoの運営者が2024年の明らかな出口詐欺の後、BlackCat運営を引き継いだか、そこから進化した可能性を示唆しています。

Embargoはランサムウェア・アズ・ア・サービスモデルで運営され、アフィリエイトにツールを提供しながら、中核業務と支払い交渉の管理を維持しています。この構造により、複数のセクターや地理的地域にわたって急速に拡大することが可能になっています。

Embargoランサムウェアによる高度な資金洗浄手法の使用

この組織は、盗まれた暗号資産を洗浄するために、Cryptex.netなどの制裁対象プラットフォーム、高リスク取引所、仲介ウォレットを使用しています。

2024年5月から8月の間、TRMラボは様々な仮想資産サービスプロバイダーを通じて行われた約1350万ドルの入金を監視し、そのうち100万ドル以上がCryptex.netを経由していました。

Embargoは暗号資産ミキサーへの過度の依存を避け、代わりに資金を取引所に直接入金する前に複数のアドレスにわたって取引を層状化しています。

このグループは限られたケースでWasabiミキサーを使用しているのが観察され、特定された入金は2件のみでした。

ランサムウェア運営者は、追跡パターンを妨害したり、メディアの注目度の低下やネットワーク手数料の低下などの好条件を待つために、資金洗浄プロセスの様々な段階で意図的に資金を留め置いています。

Embargoは特に、運用の混乱を通じて最大限のレバレッジを得るために医療機関を標的にしています。

医療機関への攻撃は患者ケアに直接影響を与え、生命を脅かす可能性のある結果をもたらし、迅速な身代金支払いへの圧力を生み出します。

このグループは、ファイルを暗号化しながら機密データを流出させるという二重恐喝戦術を採用しています。被害者は支払いを拒否した場合、データ漏洩やダークウェブでの販売の脅威に直面し、財務的損害に加えて評判や規制上の影響も受けることになります。