Nhóm ransomware Embargo đã chuyển hơn 34 triệu USD tiền điện tử liên quan đến tiền chuộc từ tháng 4 và hiện còn giữ khoảng 18,8 triệu USD trong các ví biệt lập.
Embargo hoạt động theo mô hình ransomware-as-a-service, hướng đến các ngành có chi phí gián đoạn cao như y tế và sản xuất, với dấu hiệu có liên hệ kỹ thuật và hoạt động với nhóm BlackCat (ALPHV) nổi tiếng trước đây. Chiến lược tống tiền đôi của họ kết hợp mã hóa dữ liệu và đe dọa công bố thông tin nhạy cảm để gây áp lực buộc nạn nhân trả tiền.
- Embargo chuyển hơn 34 triệu USD tiền điện tử liên quan tống tiền từ tháng 4, giữ 18,8 triệu USD trong ví không liên kết.
- Nhóm này sử dụng mô hình ransomware-as-a-service, tập trung vào ngành y tế, dịch vụ doanh nghiệp và sản xuất tại Hoa Kỳ.
- Nghi ngờ Embargo là phiên bản đổi tên của BlackCat (ALPHV) với chiến thuật tống tiền kép và kỹ thuật tương tự.
Embargo đã chuyển bao nhiêu tiền điện tử liên quan đến tống tiền và lý do giữ tiền trong ví biệt lập?
Embargo đã chuyển tổng cộng hơn 34 triệu USD tiền điện tử từ các hoạt động tống tiền kể từ tháng 4 năm nay. Hiện nhóm này còn giữ khoảng 18,8 triệu USD trong các ví không liên kết, được cho là nhằm trì hoãn việc phát hiện hoặc tận dụng điều kiện rửa tiền thuận lợi hơn trong tương lai.
Việc sử dụng các ví không liên kết là chiến thuật giúp những kẻ tấn công kéo dài thời gian xử lý pháp lý cũng như nâng cao khả năng chuyển đổi số tiền tẩu tán. Điều này cho thấy trình độ và sự chuẩn bị chuyên sâu của nhóm khi áp dụng các biện pháp che giấu dòng tiền.
Nhóm Embargo hoạt động theo mô hình nào và tập trung vào đối tượng nào?
Embargo vận hành theo mô hình ransomware-as-a-service (RaaS), nghĩa là họ phát triển phần mềm tống tiền và cho phép các đối tác sử dụng dịch vụ này nhằm mở rộng phạm vi tấn công.
Nhóm chủ yếu nhắm vào các ngành có chi phí gián đoạn cao như y tế, dịch vụ doanh nghiệp và sản xuất. Đặc biệt, nạn nhân chủ yếu là các tổ chức tại Hoa Kỳ, nơi có khả năng chi trả tiền chuộc lớn hơn và hệ thống bảo mật thường yếu ở một số lĩnh vực.
Embargo có liên hệ gì với nhóm ransomware BlackCat (ALPHV)?
Các chuyên gia từ TRM Labs cho rằng Embargo có thể là phiên bản đổi tên của BlackCat (ALPHV), nhóm tội phạm mạng này đã biến mất vào đầu năm sau một vụ nghi ngờ lừa đảo rút lui.
Các bằng chứng bao gồm việc sử dụng cùng ngôn ngữ lập trình Rust, vận hành website rò rỉ dữ liệu tương tự và cùng sử dụng hạ tầng ví giống nhau on-chain. Mặc dù không quá hung hãn như LockBit hay Cl0p, Embargo áp dụng chiến thuật tống tiền kép, mã hóa dữ liệu và đe dọa công khai thông tin nếu nạn nhân không chịu trả tiền.
“Sự trùng hợp về kỹ thuật và chiến lược hoạt động cho thấy Embargo là sự tái sinh dưới hình thức mới của BlackCat, với mục đích duy trì hoạt động và lợi nhuận trong thị trường ransomware ngày càng cạnh tranh.”
Michael Jones, Trưởng bộ phận phân tích an ninh mạng, TRM Labs, 2023
Chiến thuật tống tiền kép của Embargo được triển khai như thế nào?
Embargo áp dụng chiến thuật tống tiền kép thông qua mã hóa dữ liệu của nạn nhân và đồng thời đe dọa đăng tải thông tin nhạy cảm lên website nếu không nhận được tiền chuộc.
Chiến lược này nhằm tăng áp lực tâm lý buộc nạn nhân phải trả tiền nhanh chóng. Trong một số trường hợp, nhóm còn công khai tên nạn nhân hoặc rò rỉ dữ liệu để tạo sự cảnh báo rộng rãi trong cộng đồng và khiến các tổ chức khác cũng phải lo ngại.
Các ngành nào dễ trở thành mục tiêu tấn công của nhóm Embargo và tại sao?
Nhóm thường nhắm mục tiêu vào ngành y tế, dịch vụ doanh nghiệp và sản xuất bởi các tổ chức trong các lĩnh vực này thường chịu chi phí gián đoạn vô cùng lớn khi hệ thống bị phong tỏa.
Do chi phí tổn thất cao cùng nhu cầu khôi phục hoạt động nhanh chóng, các tổ chức này thường có xu hướng trả tiền chuộc, tạo điều kiện cho nhóm ransomware có nguồn thu ổn định và lâu dài.
Những câu hỏi thường gặp
Embargo là gì?
Embargo là nhóm ransomware hoạt động theo mô hình RaaS, chuyên nhắm vào các ngành có chi phí gián đoạn cao để tống tiền.
Nhóm này đã thu về bao nhiêu tiền từ hoạt động tống tiền?
Đã chuyển hơn 34 triệu USD tiền điện tử liên quan tiền chuộc, hiện còn giữ khoảng 18,8 triệu USD.
Embargo có liên quan gì đến nhóm BlackCat (ALPHV)?
Được cho là phiên bản đổi tên của BlackCat với nhiều điểm tương đồng kỹ thuật và chiến thuật hoạt động.
Chiến thuật tống tiền kép là gì?
Bao gồm mã hóa hệ thống và đe dọa công khai dữ liệu nhạy cảm nhằm gây áp lực trả tiền.
Tại sao Hoa Kỳ là mục tiêu chính của Embargo?
Hoa Kỳ có nhiều tổ chức chịu được chi phí tống tiền cao, dễ bị nhóm ransomware lựa chọn làm đối tượng tấn công.