Embargoランサムウェアグループの概要
比較的新しいランサムウェアグループであるEmbargoは、サイバー犯罪の地下世界で重要なプレーヤーとなり、2024年4月以来3400万ドル以上の暗号資産に関連する身代金を移動させています。ランサムウェア・アズ・ア・サービス(RaaS)モデルの下で運営されているEmbargoは、TRM Labsによると、米国全土の重要インフラを標的にしており、病院や製薬ネットワークが含まれています。被害者には、American Associated Pharmacies、ジョージア州のMemorial Hospital and Manor、アイダホ州のWeiser Memorial Hospitalが含まれています。身代金の要求は最大130万ドルに達していると報じられています。
Embargoの技術的背景と戦術
TRMの調査によると、Embargoは悪名高いBlackCat(ALPHV)オペレーションの再ブランド版である可能性があり、今年初めに疑わしい出口詐欺の後に姿を消しました。両グループは技術的な重複を共有しており、Rustプログラミング言語を使用し、類似のデータ漏洩サイトを運営し、共有ウォレットインフラを通じてオンチェーンのつながりを示しています。
暗号資産の管理とマネーロンダリング戦術
Embargoは1880万ドルの休眠暗号資産を保有しており、専門家はこれは検出を遅らせるか、将来のより良いマネーロンダリング条件を利用するための戦術であると考えています。このグループは、資金の出所を隠すために、中間ウォレット、高リスクの取引所、Cryptex.netを含む制裁対象プラットフォームのネットワークを使用しています。5月から8月にかけて、TRMはさまざまな仮想資産サービスプロバイダーを通じて少なくとも1350万ドルを追跡し、Cryptexを通じて100万ドル以上がルーティングされたことを確認しました。
Embargoの攻撃手法とターゲット
LockBitやCl0pほど目立った攻撃性はありませんが、Embargoは二重脅迫戦術を採用しており、システムを暗号化し、被害者が支払わない場合には機密データを漏洩すると脅迫しています。場合によっては、グループは個人の名前を公にしたり、サイト上でデータを漏洩させて圧力を高めています。Embargoは、ダウンタイムが高額な業界、特に医療、ビジネスサービス、製造業を主に標的にしており、米国の被害者を好む傾向があります。これは、彼らの支払い能力が高いためと考えられます。
イギリスのランサムウェア対策
イギリスは、エネルギー、医療、地方自治体を含むすべての公共部門機関および重要な国家インフラ運営者に対してランサムウェアの支払いを禁止する予定です。この提案は、禁止の対象外の被害者に対して、意図された身代金の支払いを報告することを要求する予防制度を導入します。
この計画には、被害者が攻撃から72時間以内に政府に初期報告を提出し、28日以内に詳細なフォローアップを行うことが義務付けられた報告システムも含まれています。
Chainalysisによると、昨年のランサムウェア攻撃は35%減少しました。この報告によると、2022年以来初めてランサムウェアの収益が減少したことを示しています。
