Gangue de Ransomware de Embargo Acumula US$34,2 Milhões em Receitas de Ataques – Against Invaders – Notícias de CyberSecurity para humanos.

A gangue de ransomware Embargo gerou aproximadamente US$ 34,2 milhões em receitas de ataques desde que surgiu em abril de 2024, de acordo com uma nova análise da TRM Labs.

A plataforma de inteligência blockchain rastreou pagamentos criptográficos de endereços de vítimas para uma variedade de destinos provavelmente associados ao grupo de ransomware.

Isso incluiu centenas de depósitos no valor de aproximadamente US$ 13,5 milhões distribuídos em vários provedores globais de serviços de ativos virtuais.

Outros fundos foram lavados por meio de carteiras intermediárias, exchanges de alto risco e plataformas sancionadas, como Cryptex.net.

No total, aproximadamente US$ 18,8 milhões em fundos de vítimas permanecem em endereços não atribuídos.

A vasta distribuição dos lucros do resgate é provavelmente uma tática deliberada para evitar a detecção pelas autoridades, de acordo com os pesquisadores.

Isso inclui interromper padrões comportamentais ou atrasar a movimentação de fundos até que as condições externas sejam mais favoráveis, como atenção da mídia, taxas de rede ou liquidez.

O TRM Labs também observou que os endereços de criptomoeda historicamente vinculados à agora extinta gangue BlackCat canalizaram fundos para clusters de carteiras associados às vítimas do Embargo.

Essa sobreposição on-chain reforça a avaliação de que o Embargo pode ser uma versão renomeada do BlackCat, que Desligamento em um aparente golpe de saída em março de 2024.

Embargo adota recursos técnicos avançados

Os Laboratórios TRM relatório, publicado em 8 de agosto, observou que o Embargo pode estar adotando IA e aprendizado de máquina (ML) para escalar ataques, criar iscas de phishing mais convincentes, adaptar malware e acelerar as operações.

Essa avaliação é baseada nas capacidades técnicas do ator ransomware-as-as-service (RaaS), permitindo que ele implante ransomware altamente avançado e agressivo.

O embargo normalmente obtém acesso inicial explorando vulnerabilidades de software não corrigidas ou por meio de engenharia social. Este último inclui e-mails de phishing e downloads drive-by entregues por meio de sites maliciosos.

Uma vez dentro de uma rede, o grupo demonstra um foco claro na evasão da defesa e na maximização do impacto. Ele implanta um kit de ferramentas de duas partes para desativar as ferramentas de segurança e remover as opções de recuperação antes de criptografar arquivos.

Leia agora: Embargo Ransomware Gang Implanta Ferramentas Personalizadas de Evasão de Defesa

Após a criptografia, as vítimas são direcionadas a se comunicar por meio da infraestrutura controlada pelo Embargo. Isso permite que o grupo mantenha o controle sobre as negociações e reduza a exposição.

Ele usa dupla extorsão táticas em negociações, ameaçando vazar ou vender dados exfiltrados se a vítima se recusar a pagar.

O Embargo mantém um site de vazamento de dados onde lista organizações e, às vezes, os nomes de executivos individuais, que se recusam a pagar.

O embargo também evita marcas abertas e táticas de alta visibilidade de outros grupos de ransomware mais proeminentes, como LockBit e Akira.

“Essa restrição operacional provavelmente ajudou o Embargo a evitar a detecção da aplicação da lei e reduziu a atenção da mídia”, observaram os pesquisadores do TRM Labs.

O modelo RaaS do grupo permite que os afiliados usem suas ferramentas para realizar ataques em troca de uma participação nos lucros. No entanto, o Embargo mantém o controle sobre as operações principais, incluindo infraestrutura técnica e negociações de pagamento.

Assim como o BlackCat, o ransomware implantado pelo Embargo está na linguagem de programação Rust, permitindo compatibilidade entre plataformas e ofuscação aprimorada.

Além disso, o site de vazamento de dados do Embargo se assemelha muito ao do BlackCat tanto no design visual quanto na funcionalidade subjacente e na estrutura de conteúdo, observaram os pesquisadores.

Possível alinhamento do estado-nação

Embora o Embargo seja principalmente motivado financeiramente, vários incidentes apresentaram mensagens politicamente carregadas e referências ideológicas, sugerindo um possível alinhamento entre o estado-nação.

“Essa sobreposição potencial complica a atribuição e reflete uma tendência mais ampla de atores motivados financeiramente envolvidos em campanhas com temas políticos. Além disso, os atores do estado-nação quase certamente Aproveite os grupos cibercriminosos como proxies para promover objetivos estratégicos ou financeiros, mantendo a negação plausível”, escreveram os pesquisadores.

O grupo visa desproporcionalmente organizações sediadas nos EUA, com foco particular em Saúde, serviços às empresas e setores da indústria transformadora.

Isso provavelmente se deve à sensibilidade à interrupção operacional nesses setores.

Pedidos de resgate emitidos pelo grupo foram observados em até US $ 1,3 milhão.

azaeo.com – datalake

File fishes formats available in:

Texto JSON JSON-LD XML HTML HTML Source PDF Markdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology: “LLMs” is the correct English acronym for Large Language Models.