Embargo 랜섬웨어 그룹의 부상
상대적으로 새로운 랜섬웨어 그룹인 Embargo는 사이버 범죄 지하 세계에서 주요 플레이어로 자리 잡았습니다. 이들은 2024년 4월 이후 3,400만 달러 이상의 암호화폐를 랜섬 지불금으로 이동시켰습니다. 랜섬웨어-서비스(RaaS) 모델을 기반으로 운영되는 Embargo는 미국 전역의 중요한 인프라를 타겟으로 삼고 있으며, 병원과 제약 네트워크를 포함하고 있습니다.
블록체인 정보 회사인 TRM Labs에 따르면, 피해자에는 American Associated Pharmacies, 조지아주에 위치한 Memorial Hospital and Manor, 그리고 아이다호의 Weiser Memorial Hospital이 포함됩니다.
랜섬 요구액은 최대 130만 달러에 달하는 것으로 전해졌습니다. TRM의 조사에 따르면, Embargo는 올해 초 의심되는 퇴출 사기 이후 사라진 악명 높은 BlackCat(ALPHV) 작전의 리브랜딩 버전일 가능성이 있습니다. 두 그룹은 Rust 프로그래밍 언어를 사용하고, 유사한 데이터 유출 사이트를 운영하며, 공유된 지갑 인프라를 통해 온체인 연결을 보여주는 기술적 겹침을 공유하고 있습니다.
자금 세탁 및 운영 전략
Embargo는 약 1,880만 달러의 비활성 암호화폐를 보유하고 있으며, 이 금액은 비연관 지갑에 비활성 상태로 남아 있습니다. 전문가들은 이는 탐지를 지연시키거나 향후 더 나은 세탁 조건을 활용하기 위한 전략으로 보입니다. 이 그룹은 자금의 출처를 숨기기 위해 중개 지갑, 고위험 거래소 및 Cryptex.net과 같은 제재 플랫폼의 네트워크를 사용합니다.
5월부터 8월까지 TRM은 다양한 가상 자산 서비스 제공업체를 통해 최소 1,350만 달러를 추적했으며, Cryptex를 통해서만 100만 달러 이상이 이동했습니다.
공격 전술 및 타겟
Embargo는 LockBit이나 Cl0p만큼 눈에 띄게 공격적이지는 않지만, 시스템을 암호화하고 피해자가 지불하지 않을 경우 민감한 데이터를 유출하겠다고 위협하는 이중 강탈 전술을 채택했습니다. 일부 경우에는 그룹이 개인의 이름을 공개하거나 사이트에 데이터를 유출하여 압박을 증가시켰습니다.
Embargo는 다운타임이 비용이 많이 드는 분야, 즉 의료, 비즈니스 서비스 및 제조업을 주로 타겟으로 하며, 미국 기반 피해자에게 선호를 보이는 경향이 있습니다. 이는 그들이 더 높은 지불 능력을 가지고 있기 때문일 가능성이 높습니다.
영국의 랜섬웨어 대응 방안
영국은 모든 공공 부문 기관 및 에너지, 의료, 지방 자치 단체를 포함한 중요한 국가 인프라 운영자에 대한 랜섬웨어 지불을 금지할 예정입니다. 이 제안은 금지 조치 외부의 피해자가 의도된 랜섬 지불금을 보고하도록 요구하는 예방 체계를 도입합니다.
이 계획에는 피해자가 공격 발생 후 72시간 이내에 정부에 초기 보고서를 제출하고 28일 이내에 상세한 후속 보고서를 제출해야 하는 의무 보고 시스템도 포함됩니다. Chainalysis에 따르면, 지난해 랜섬웨어 공격은 35% 감소했습니다. 이는 2022년 이후 랜섬웨어 수익이 처음으로 감소한 것을 나타냅니다.
