$18,8 miljoen losgeld blijft spoorloos na aanvallen door Embargo

De relatief nieuwe ransomwaregroep Embargo weet in korte tijd een forse voetafdruk te zetten in de cyber crime wereld. Sinds april 2024 heeft de groep volgens blockchain analyse bedrijf TRM Labs meer dan $34,2 miljoen aan losgeld opgehaald. Vooral Amerikaanse organisaties in de gezondheidszorg en maakindustrie zijn de dupe. Opvallend is dat zo’n $18,8 miljoen van deze betalingen nog steeds spoorloos is, terwijl een deel van de opbrengsten via het gesanctioneerde Cryptex.net is verplaatst.

Verbindingen met beruchte blackcat groep

Onderzoekers vermoeden dat Embargo geen volledig nieuwe speler is, maar mogelijk een doorstart of rebranding van het eerder beruchte BlackCat (ALPHV). De overeenkomsten zijn opvallend: beide groepen gebruiken de programmeertaal Rust, hun datalek sites lijken sterk op elkaar en blockchain analyse toont overlapping in wallet infrastructuur. Dat suggereert dat bestaande netwerken van criminelen simpelweg zijn voortgezet onder een nieuwe naam, waarschijnlijk om onder de radar te blijven na politieacties tegen BlackCat.

Slimme tactieken en dubbele afpersing

Embargo werkt volgens het ransomware as a service model, waarbij affiliates de aanval uitvoeren en de groep zelf de infrastructuur en onderhandelingen beheert. Slachtoffers krijgen te maken met dubbele afpersing: bestanden worden versleuteld en tegelijk wordt gevoelige data gestolen. Betaalt een organisatie niet, dan verschijnt ze op Embargo’s datalek site of wordt de informatie op het dark web verkocht. Met name ziekenhuizen zijn kwetsbaar door de directe impact op patiëntenzorg, wat de druk om te betalen enorm verhoogt.

Witwassen en slapende fondsen

In tegenstelling tot sommige concurrenten gebruikt Embargo weinig mixers of cross chain bridges. Het geld gaat meestal via meerdere tussen wallets naar risicovolle exchanges en in sommige gevallen naar platforms die op sanctielijsten staan, zoals Cryptex.net. TRM Labs traceerde al meer dan $13 miljoen richting wereldwijde exchanges. Opvallend is dat $18,8 miljoen nog steeds ongebruikt in diverse wallets staat. Dat lijkt een bewuste strategie om opsporing te bemoeilijken of te wachten op gunstiger omstandigheden, zoals lagere netwerk fees of minder mediabelangstelling.

Kunstmatige intelligentie als wapen

Embargo zou, net als andere moderne ransomwaregroepen, AI en machine learning inzetten om aanvallen te automatiseren. Denk aan het maken van overtuigendere phishing mails, het ontwikkelen van malware die zichzelf aanpast of zelfs deepfakes van leidinggevenden om werknemers te misleiden. Die technologische voorsprong maakt het lastiger voor bedrijven om aanvallen tijdig te detecteren. Organisaties in risicosectoren krijgen daarom het advies om hun beveiliging te versterken met geavanceerde detectiesystemen en regelmatige training tegen phishingaanvallen, zoals wordt aangeraden bij bescherming tegen crypto scams.