وفقًا لبحث أجرته TRM Labs، سرقت مجموعة برامج الفدية Embargo مبلغ 34.2 مليون دولار منذ ظهورها في أبريل 2024، مستهدفة الضحايا في قطاعات الرعاية الصحية والخدمات التجارية والتصنيع.
معظم الضحايا موجودون في الولايات المتحدة، مع مطالب فدية تصل إلى 1.3 مليون دولار لكل هجوم.
وقد ضربت مجموعة الجرائم الإلكترونية أهدافًا رئيسية، بما في ذلك الصيدليات الأمريكية المرتبطة، ومستشفى ميموريال ومانور في جورجيا، ومستشفى وايزر ميموريال في أيداهو.
حددت TRM Labs ما يقرب من 18.8 مليون دولار من أموال الضحايا التي لا تزال خاملة في محافظ غير منسوبة.
يُشتبه في وجود صلة بـ BlackCat
وفقًا لمختبرات TRM، قد يكون Embargo عبارة عن نسخة أعيدت تسميتها من مجموعة برامج الفدية BlackCat (ALPHV) المنحلة، استنادًا إلى أوجه التشابه الفنية والبنية الأساسية المشتركة.
تستخدم كلتا المجموعتين لغة برمجة Rust وتحافظان على تصميمات ووظائف مواقع تسريب البيانات المتطابقة تقريبًا.
كشف التحليل على السلسلة أن العناوين التاريخية المرتبطة بـ BlackCat قامت بتوجيه العملات المشفرة إلى مجموعات المحافظ المرتبطة بضحايا الحظر.
ويشير الارتباط إلى أن مشغلي Embargo ربما ورثوا عملية BlackCat أو تطوروا منها بعد عملية الاحتيال الواضحة التي خرجت منها في عام 2024.
تعمل إمبارغو وفق نموذج خدمة برامج الفدية، حيث توفر أدوات للشركات التابعة مع الاحتفاظ بالسيطرة على العمليات الأساسية ومفاوضات الدفع. يتيح هذا الهيكل التوسع السريع عبر قطاعات ومناطق جغرافية متعددة.
استخدام برنامج الفدية Embargo لأساليب غسيل الأموال المتطورة
وتستخدم المنظمة منصات معتمدة مثل Cryptex.net، ومنصات تبادل عالية المخاطر، ومحافظ وسيطة لغسل العملات المشفرة المسروقة.
في الفترة ما بين مايو وأغسطس 2024، قامت TRM Labs بمراقبة ما يقرب من 13.5 مليون دولار من الودائع التي تمت من خلال العديد من مقدمي خدمات الأصول الافتراضية، بما في ذلك أكثر من مليون دولار تم توجيهها عبر Cryptex.net.
تتجنب Embargo الاعتماد بشكل كبير على خلاطات العملات المشفرة، وبدلاً من ذلك تقوم بتقسيم المعاملات عبر عناوين متعددة قبل إيداع الأموال مباشرة في البورصات.
وقد لوحظ أن المجموعة تستخدم خلاط الوسابي في حالات محدودة، مع تحديد رواسب اثنين فقط.
يقوم مشغلو برامج الفدية بإيداع الأموال عمدًا في مراحل مختلفة من عملية الغسيل، ومن المرجح أن يؤدي ذلك إلى تعطيل أنماط التتبع أو انتظار الظروف المواتية مثل انخفاض اهتمام وسائل الإعلام أو انخفاض رسوم الشبكة.
يستهدف الحظر على وجه التحديد مؤسسات الرعاية الصحية لتحقيق أقصى استفادة من خلال تعطيل العمليات.
يمكن أن تؤثر هجمات الرعاية الصحية بشكل مباشر على رعاية المرضى، مع عواقب قد تهدد الحياة، وتخلق ضغوطًا من أجل دفع فدية سريعة.
تستخدم المجموعة أساليب ابتزاز مزدوجة: تشفير الملفات واستخراج البيانات الحساسة. يواجه الضحايا تهديدات بتسريب البيانات أو بيعها عبر الإنترنت المظلم إذا رفضوا الدفع، مما يفاقم الضرر المالي ويؤثر سلبًا على السمعة والتنظيم.
