Le groupe de ransomware Embargo a été accusé d'avoir transféré plus de 34 millions de dollars dans plusieurs paiements liés à la crypto-monnaie depuis avril 2024. Selon la société de renseignement blockchain TRM Labs, le groupe, qui est encore relativement nouveau, est devenu un acteur clé dans le monde de la cybercriminalité clandestine.
TRM Labs a révélé qu'Embargo fonctionne selon un modèle de ransomware en tant que service, frappant des infrastructures critiques à travers les États-Unis.
Le rapport révèle que le groupe a ciblé des hôpitaux et plusieurs réseaux pharmaceutiques dans de nombreux États. Parmi ses victimes figurent American Associated Pharmacies, le Memorial Hospital and Manor en Géorgie et l'hôpital Weiser dans l'Idaho. Les rançons demandées ont atteint plus de 1,3 million de dollars.
Les enquêtes de TRM Labs révèlent les opérations d'Embargo
Selon TRM Labs , ses enquêtes ont révélé que le groupe pourrait être né d'une version rebaptisée de la tristement célèbre opération BlackCat (ALPHV). Ce groupe a disparu plus tôt cette année après avoir été impliqué dans une escroquerie à la sortie. Une escroquerie à la sortie est une sorte de « rug pull » où les responsables d'un projet disparaissent avec les fonds des utilisateurs sans laisser de trac .
En utilisant le langage de programmation Rust, en exploitant des sites de fuite de données similaires et en présentant des liens sur la chaîne via une infrastructure de portefeuille partagée, TRM Labs a noté que les deux entités partagent un chevauchement technique.
Selon certaines informations, environ 18 millions de dollars de revenus illégaux appartenant à Embargo seraient encore inactifs dans des portefeuilles non affiliés. Les analystes estiment que cette tactique vise à retarder la détection ou à rechercher de meilleures opportunités d'exploitation à l'avenir.
Embargo utilise un réseau de portefeuilles intermédiaires, d'échanges à haut risque et de plateformes sanctionnées, dont Cryptos.net, pour dissimuler les traces de transactions et dissimuler les fonds. De mai à août, TRM Labs a déclaré avoir tracau moins 13,5 millions de dollars volés par Embargo auprès de divers fournisseurs de services d'actifs virtuels, dont plus d'un million de dollars transférés uniquement via Cryptex.
Bien qu'Embargo n'utilise pas la tactique agressive de groupes comme LockBit ou Cl0p, le groupe a adopté une double stratégie d'extorsion. Il utilise le chiffrement des systèmes et des menaces pour divulguer des données sensibles afin de contraindre ses victimes à payer la rançon. Dans d'autres cas, le groupe a divulgué les noms des personnes impliquées ou les données volées pour démontrer son sérieux et accentuer la pression.
Emargo s'attaque à des cibles à enjeux élevés
Le groupe cible systématiquement les secteurs où les interruptions de service s'avèrent coûteuses pour ses activités, notamment dans les secteurs de la santé, de l'industrie manufacturière et des services aux entreprises. Il a également démontré une préférence pour les victimes basées aux États-Unis, compte tenu de leur capacité à payer à temps, car les interruptions de service peuvent s'avérer coûteuses pour leurs activités.
Parallèlement, le Royaume-Uni a annoncé son intention d'interdire le paiement de rançongiciels à tous les organismes du secteur public et aux opérateurs d'infrastructures nationales critiques. Ces secteurs comprennent l'énergie, la santé et les collectivités locales. La proposition introduira un régime de prévention qui obligera les victimes non concernées à signaler aux autorités tout paiement de rançongiciel envisagé.
Le plan comprend également un système de signalement obligatoire dans lequel les victimes sont tenues de soumettre un rapport initial au gouvernement dans les 72 heures suivant une attaque et un suivi détaillé dans les 28 jours suivants.
Selon un précédent rapport de Chainalysis, les attaques de rançongiciels ont chuté d'environ 35 % l'année dernière. Le rapport affirmait que c'était la première fois depuis 2022 que les revenus générés par les rançongiciels enregistraient une telle baisse. Publié en février, le rapport mentionnait que malgré cette baisse, les utilisateurs avaient tout de même perdu plus de 800 millions de dollars aux mains des criminels. Chainalysis attribuait cette baisse à l'intensification des mesures policières, à l'amélioration de la collaboration internationale et au refus croissant des victimes de payer.
Soyez vu où cela compte. Présentation de la recherche cryptopolite et atteignez les investisseurs et les constructeurs les plus forts de Crypto.
