Как действуют криптовымогатели: тактика группировок Embargo и BlackCat

В 2024 году мир впервые узнал о банде криптовымогателей Embargo. Как стало известно, ранее группировка называлась BlackCat, но решила провести «ребрендинг». Помимо изменения названия вымогатели модифицировали методы работы и научились новым приемам. GetBlock AML Research раскрывает тактику самой успешной группы криптовымогателей.

Связь Embargo и BlackCat

В TRM Labs выделили несколько факторов, которые указывают на то, что Embargo и BlackCat — это одна группировка:

• они пишут вирусы на одном и том же языке программирования Rust;
• у них похожие сайты с утечками данных;
• они используют часть одних и тех же криптокошельков

Embargo отмывает полученную криптовалюту через цепочку промежуточных кошельков, рискованные биржи и запрещенные сервисы вроде Cryptex.net. Приблизительно $18,8 млн лежат без движения в анонимных кошельках — это один из способов запутать следы и отвлечь внимание правоохранительных органов от финансовых потоков.

Визуализация: TRM Labs

Связь кошельков Embargo и BlackCat

Судя по их техническому уровню, Embargo может использовать искусственный интеллект и машинное обучение для масштабирования атак, создания более правдоподобных фишинговых писем, изменения кода вирусов и ускорения операций.

При чем тут криптовалюта

Криптовалюта — ключевой инструмент для группировок-вымогателей: она позволяет анонимно получать деньги и переводить их через границы. Чаще всего они используют биткоин, но некоторые предпочитают Monero (XLM), потому что он лучше скрывает транзакции. Несмотря на то, что полиция все активнее отслеживает криптоплатежи, такие группы постоянно придумывают новые способы избежать слежки.

Модель работы Embargo

Embargo известны сложными и прицельными атаками с использованием модели RaaS (Ransomware-as-a-Service). Это значит, что они дают «партнерам» инструменты для атак, а те отдают им долю от выкупа. При этом основную инфраструктуру и переговоры с жертвами Embargo держат под полным контролем. Такая схема позволяет быстро расширять деятельность и атаковать разные отрасли и страны.

«Тихий» стиль

В отличие от громких групп вроде LockBit или Cl0p, Embargo действует тише. Они используют мощное и агрессивное ПО, но избегают чрезмерного пиара и открытых угроз жертвам. Из-за этого их труднее отследить, и о них меньше пишут в СМИ.

Взломать вымогателей: как хакнули группировку Lockbit и слили 60 000 адресов

Аноним из Праги опубликовал в открытом доступе информацию о 75 партнерах вымогателей

Читать дальше

Кого атакуют

Чаще всего Embargo бьют по:

• медицинским организациям,
• компаниям в сфере услуг,
• производственным предприятиям.

Выбор объясняется тем, что такие организации не могут позволить себе простои и готовы платить быстрее. Особенно опасны атаки на медицину, где это может напрямую повлиять на жизни пациентов.

Географически основная цель — США, но атаки фиксировались и в Европе, и в Азии.

Давление на жертв

У Embargo есть сайт, где они публикуют данные тех, кто отказался платить. Иногда они выкладывают даже имена и личную информацию, чтобы усилить давление.

Кроме того, они используют двойное вымогательство:

• шифруют файлы,
• воруют данные, а потом угрожают их слить или продать.

Это создает не только финансовые потери, но и репутационные, а также юридические проблемы.

Отмывание криптовалюты

Ончейн-анализ кошельков Embargo показывает их методы отмывания полученной от жертв криптовалюты. Группировка использует:

• CEX и DEX биржи;
• сервисы для анонимных переводов;
• миксеры и P2P-платформы;
• Cryptex.net.

Общая сумма, которую Embargo отмыли через биржи — около $13,5 млн, а через Cryptex.net прошло более $1 млн.

Визуализация: TRM Labs

Ончейн-связь кошельков Embargo с Cryptex

Embargo редко используют миксеры вроде Wasabi. Чаще они просто криптовалюту через цепочку промежуточных кошельков, а потом заводят их на биржи.

Ончейн-связь кошельков Embargo с Wasabi

Embargo используют ИИ

Embargo могут применять ИИ и машинное обучение для:

• автоматического поиска жертв и уязвимостей;
• создания более убедительных писем с вирусами;
• генерации фальшивых видео и аудио (deepfake);
• написания и изменения вредоносного кода, который антивирусы не распознают.