Embargo fidye yazılım grubu bir yılda 34,2 milyon dolar kazandı: TRM Labs

TRM Labs araştırmasına göre, Embargo fidye yazılım grubu, Nisan 2024'te ortaya çıktığından bu yana sağlık, iş hizmetleri ve imalat sektörlerindeki kurbanlara yönelerek 34,2 milyon dolar çaldı.

Kurbanların çoğu ABD'de bulunuyor ve fidye talepleri saldırı başına 1,3 milyon dolara kadar çıkabiliyor.

Siber suç grubu, American Associated Pharmacies, Georgia'daki Memorial Hospital and Manor ve Idaho'daki Weiser Memorial Hospital gibi büyük hedeflere saldırdı.

TRM Labs, atanmamış cüzdanlarda hareketsiz duran yaklaşık 18,8 milyon dolarlık kurban fonu tespit etti.

BlackCat bağlantısından şüpheleniliyor

TRM Labs'a göre, Embargo, teknik benzerlikler ve paylaşılan altyapı temelinde, faaliyeti durdurulan BlackCat (ALPHV) fidye yazılım grubunun yeniden markalaşmış bir versiyonu olabilir.

Her iki grup da Rust programlama dilini kullanıyor ve neredeyse aynı veri sızıntısı sitesi tasarımına ve işlevselliğine sahip.

Zincir üstü analiz, geçmişte BlackCat ile bağlantılı adreslerin, Embargo kurbanlarıyla ilişkili cüzdan kümelerine kripto para aktardığını ortaya çıkardı.

Bu bağlantı, Embargo'nun operatörlerinin BlackCat operasyonunu devralmış olabileceğini veya 2024'teki görünür dolandırıcılık sonrası bu gruptan evrimleşmiş olabileceğini gösteriyor.

Embargo, bir fidye yazılımı-hizmet olarak modeli altında çalışıyor; araçları bağlı kuruluşlara sağlarken, çekirdek operasyonlar ve ödeme görüşmeleri üzerinde kontrolü elinde tutuyor. Bu yapı, birden fazla sektör ve coğrafi bölgede hızlı ölçeklenmeyi mümkün kılıyor.

Embargo fidye yazılımının sofistike aklama yöntemleri

Grup, çalınan kripto paraları aklamak için Cryptex.net gibi yaptırımlı platformlar, yüksek riskli borsalar ve aracı cüzdanlar kullanıyor.

TRM Labs, Mayıs ve Ağustos 2024 arasında çeşitli SANAL varlık hizmet sağlayıcıları aracılığıyla yapılan yaklaşık 13,5 milyon dolarlık yatırımı izledi; bunların 1 milyon dolardan fazlası Cryptex.net üzerinden yönlendirildi.

Embargo, kripto para karıştırıcılarına ağır şekilde güvenmek yerine, fonları doğrudan borsalara yatırmadan önce işlemleri birden fazla adres üzerinden katmanlıyor.

Grup, Wasabi karıştırıcısını sınırlı örneklerde kullandı ve yalnızca iki yatırım tespit edildi.

Fidye yazılımı operatörleri, fonları aklama sürecinin çeşitli aşamalarında bilinçli olarak bekletiyor; muhtemelen izleme modellerini bozmak veya medya ilgisinin azaldığı veya ağ ücretlerinin düştüğü gibi elverişli koşulları beklemek için.

Embargo, operasyonel kesinti yoluyla kaldıraçı en üst düzeye çıkarmak için özellikle sağlık kuruluşlarını hedefliyor.

Sağlık sektörüne yönelik saldırılar, hasta bakımını doğrudan etkileyebilir ve potansiyel olarak hayati tehlike oluşturan sonuçlara yol açabilir; ayrıca hızlı fidye ödemesi için baskı yaratabilir.

Grup, dosyaları şifrelerken hassas verileri sızdırma taktikleri kullanıyor. Kurbanlar, ödeme yapmayı reddederse veri sızıntısı veya karanlık ağda satış tehditleriyle karşı karşıya kalarak mali hasarı itibar kaybı ve düzenleyici sonuçlarla birleştiriyor.

Çeviren: PhantomBlade