Nhóm Ransomware Embargo
Nhóm ransomware tương đối mới mang tên Embargo đã trở thành một nhân tố quan trọng trong thế giới tội phạm mạng, với hơn 34 triệu USD trong các khoản thanh toán tiền chuộc liên quan đến tiền điện tử được chuyển giao kể từ tháng 4 năm 2024. Hoạt động theo mô hình ransomware-as-a-service (RaaS), Embargo đã tấn công vào cơ sở hạ tầng quan trọng trên khắp Hoa Kỳ, nhắm đến các mục tiêu như bệnh viện và mạng lưới dược phẩm, theo thông tin từ công ty tình báo blockchain TRM Labs.
Các Nạn Nhân và Chiến Thuật
Các nạn nhân của nhóm này bao gồm American Associated Pharmacies, Bệnh viện Memorial ở Georgia và Bệnh viện Weiser Memorial ở Idaho, với các yêu cầu tiền chuộc được báo cáo lên tới 1,3 triệu USD. Cuộc điều tra của TRM cho thấy Embargo có thể là một phiên bản tái thương hiệu của hoạt động BlackCat (ALPHV) nổi tiếng, đã biến mất sau một vụ lừa đảo được nghi ngờ vào đầu năm nay. Hai nhóm này có sự chồng chéo về kỹ thuật, sử dụng ngôn ngữ lập trình Rust, vận hành các trang web rò rỉ dữ liệu tương tự và thể hiện mối liên hệ trên chuỗi thông qua cơ sở hạ tầng ví chung.
Chiến Thuật Rửa Tiền
Khoảng 18,8 triệu USD từ số tiền điện tử của Embargo vẫn đang nằm trong các ví không hoạt động, một chiến thuật mà các chuyên gia cho rằng có thể được thiết kế để trì hoãn việc phát hiện hoặc khai thác các điều kiện rửa tiền tốt hơn trong tương lai. Nhóm này sử dụng một mạng lưới các ví trung gian, các sàn giao dịch có rủi ro cao và các nền tảng bị trừng phạt, bao gồm Cryptex.net, để làm mờ nguồn gốc của các quỹ.
Từ tháng 5 đến tháng 8, TRM đã theo dõi ít nhất 13,5 triệu USD qua nhiều nhà cung cấp dịch vụ tài sản ảo khác nhau, trong đó hơn 1 triệu USD được chuyển qua Cryptex một mình. Mặc dù không hung hăng như LockBit hay Cl0p, Embargo đã áp dụng các chiến thuật tống tiền kép, mã hóa hệ thống và đe dọa rò rỉ dữ liệu nhạy cảm nếu nạn nhân không trả tiền. Trong một số trường hợp, nhóm này đã công khai nêu tên cá nhân hoặc rò rỉ dữ liệu trên trang web của mình để tăng áp lực.
Nhắm Đến Các Lĩnh Vực Quan Trọng
Embargo chủ yếu nhắm vào các lĩnh vực mà thời gian ngừng hoạt động là tốn kém, bao gồm chăm sóc sức khỏe, dịch vụ kinh doanh và sản xuất, và đã thể hiện sự ưu tiên cho các nạn nhân có trụ sở tại Hoa Kỳ, có thể do khả năng chi trả cao hơn của họ.
Chính Sách Mới Tại Vương Quốc Anh
Vương quốc Anh sắp cấm thanh toán tiền chuộc cho tất cả các cơ quan khu vực công và các nhà điều hành cơ sở hạ tầng quốc gia quan trọng, bao gồm năng lượng, chăm sóc sức khỏe và các hội đồng địa phương. Đề xuất này giới thiệu một chế độ phòng ngừa yêu cầu các nạn nhân ngoài lệnh cấm phải báo cáo các khoản thanh toán tiền chuộc dự định. Kế hoạch cũng bao gồm một hệ thống báo cáo bắt buộc, với các nạn nhân phải gửi báo cáo ban đầu cho chính phủ trong vòng 72 giờ sau một cuộc tấn công và một báo cáo chi tiết trong vòng 28 ngày.
Xu Hướng Tấn Công Ransomware
Theo Chainalysis, ransomware đã chứng kiến sự giảm 35% trong các cuộc tấn công năm ngoái. Đây là lần giảm đầu tiên về doanh thu ransomware kể từ năm 2022, theo báo cáo.
