- 19,749
- 44
- 8 Ноя 2022
BlackCat исчез… но что, если группа просто вернулась под новым именем?
С момента появления весной 2024 года группировка Embargo, работающая по модели вымогательского ПО как услуги ( Для просмотра ссылки Войдиили Зарегистрируйся ), быстро заняла заметное место в киберпреступной среде. По Для просмотра ссылки Войди или Зарегистрируйся TRM Labs, на кошельки, связанные с этой структурой, могло поступить около 34,2 млн долларов США, при этом большинство жертв находились в США и представляли здравоохранение, бизнес-услуги и промышленное производство. В отдельных случаях требования достигали 1,3 млн долларов.
TRM оценивает, что Embargo может быть переименованной или правопреемной структурой Для просмотра ссылки Войдиили Зарегистрируйся , что подтверждается как техническими, так и поведенческими совпадениями. Обе группировки используют язык Rust, схожее оформление сайтов для публикации похищенных данных и имеют пересечения в криптовалютной инфраструктуре. Значительная часть вырученных средств проходит через промежуточные кошельки, высокорисковые биржи и даже санкционные платформы, включая Для просмотра ссылки Войди или Зарегистрируйся . Около 18,8 млн долларов остаются на неатрибутированных адресах, что, вероятно, отражает стратегию затягивания транзакций для усложнения отслеживания.
Технический уровень Embargo позволяет предполагать использование Для просмотра ссылки Войдиили Зарегистрируйся и машинного обучения для масштабирования атак, генерации более убедительных фишинговых писем, модификации вредоносного кода и ускорения операций. Как и у других RaaS-групп, криптовалюты — преимущественно Bitcoin, а иногда Monero — играют ключевую роль в вымогательской схеме. Несмотря на рост усилий правоохранителей по отслеживанию транзакций, преступники продолжают адаптировать методы, усложняя обнаружение.
Embargo действует по модели предоставления инструментов аффилированным хакерам, сохраняя за собой контроль над инфраструктурой и переговорами о выплатах. Такой подход позволяет быстро масштабировать атаки и охватывать разные регионы, при этом группа избегает чрезмерного публичного давления на жертв и шумных тактик, что снижает внимание СМИ и спецслужб. Тем не менее, методы остаются агрессивными: используются двойное вымогательство с шифрованием и кражей данных, публикация имён и персональной информации на утечечных сайтах, а в отдельных случаях и политически окрашенные сообщения, что усложняет атрибуцию и поднимает вопрос о возможных государственных связях.
Наибольшее внимание Embargo уделяет организациям с высокой зависимостью от непрерывной работы — особенно в медицине, где сбои способны угрожать жизни пациентов. Географически приоритетом остаются США, где, по мнению группы, выше вероятность получения крупных выкупов. Первичный доступ достигается через эксплуатацию неустранённых уязвимостей и Для просмотра ссылки Войдиили Зарегистрируйся — от фишинговых писем до drive-by-загрузок. После проникновения применяются инструменты для отключения защитных средств и удаления резервных копий, а обмен сообщениями ведётся через контролируемые Embargo каналы.
TRM зафиксировала, что при Для просмотра ссылки Войдиили Зарегистрируйся группа предпочитает многоступенчатое перемещение через цепочку кошельков, а не активное использование миксеров. Депозиты на глобальные биржи составили более 13 млн долларов, а часть переводов шла через Cryptex.net. Задержка перемещений, хранение средств на промежуточных этапах и распределение активов между участниками указывают на выверенную финансовую стратегию.
С учётом интеграции ИИ в арсенал RaaS-группировок, подобные Embargo структуры получают инструменты для автоматизации разведки, сканирования уязвимостей, генерации вредоносов и даже создания дипфейков руководителей компаний для усиления социально-инженерных атак. При этом ИИ становится и средством защиты — системы на его основе могут выявлять нетипичную сетевую активность и признаки шифрования данных.
Embargo демонстрирует, что современное вымогательское ПО сочетает технический прогресс, продуманные финансовые схемы и адаптацию под политический контекст. Противодействие требует сочетания технологической защиты, постоянного обновления ПО, обучения персонала и международного сотрудничества, а также точной и своевременной разведки угроз.
С момента появления весной 2024 года группировка Embargo, работающая по модели вымогательского ПО как услуги ( Для просмотра ссылки Войди
TRM оценивает, что Embargo может быть переименованной или правопреемной структурой Для просмотра ссылки Войди
Технический уровень Embargo позволяет предполагать использование Для просмотра ссылки Войди
Embargo действует по модели предоставления инструментов аффилированным хакерам, сохраняя за собой контроль над инфраструктурой и переговорами о выплатах. Такой подход позволяет быстро масштабировать атаки и охватывать разные регионы, при этом группа избегает чрезмерного публичного давления на жертв и шумных тактик, что снижает внимание СМИ и спецслужб. Тем не менее, методы остаются агрессивными: используются двойное вымогательство с шифрованием и кражей данных, публикация имён и персональной информации на утечечных сайтах, а в отдельных случаях и политически окрашенные сообщения, что усложняет атрибуцию и поднимает вопрос о возможных государственных связях.
Наибольшее внимание Embargo уделяет организациям с высокой зависимостью от непрерывной работы — особенно в медицине, где сбои способны угрожать жизни пациентов. Географически приоритетом остаются США, где, по мнению группы, выше вероятность получения крупных выкупов. Первичный доступ достигается через эксплуатацию неустранённых уязвимостей и Для просмотра ссылки Войди
TRM зафиксировала, что при Для просмотра ссылки Войди
С учётом интеграции ИИ в арсенал RaaS-группировок, подобные Embargo структуры получают инструменты для автоматизации разведки, сканирования уязвимостей, генерации вредоносов и даже создания дипфейков руководителей компаний для усиления социально-инженерных атак. При этом ИИ становится и средством защиты — системы на его основе могут выявлять нетипичную сетевую активность и признаки шифрования данных.
Embargo демонстрирует, что современное вымогательское ПО сочетает технический прогресс, продуманные финансовые схемы и адаптацию под политический контекст. Противодействие требует сочетания технологической защиты, постоянного обновления ПО, обучения персонала и международного сотрудничества, а также точной и своевременной разведки угроз.
- Источник новости
- www.securitylab.ru
