Ransomware Embargo đã rửa tiền 34,2 triệu đô la Mỹ bằng tiền điện tử kể từ tháng 4 năm 2024, chủ yếu nhắm vào các mục tiêu trong lĩnh vực chăm sóc sức khỏe tại Mỹ.
TRM Labs liên kết Embargo với BlackCat thông qua mã Rust chia sẻ thiết kế trang web rò rỉ tương tự và kết nối ví.
Nhóm này sử dụng AI lừa đảo và các lỗ hổng chưa được vá để đánh cắp dữ liệu, mã hóa tệp và yêu cầu tiền chuộc lên tới 1,3 triệu đô la.
Một nhóm ransomware-as-a-service có tên là Embargo đã rửa khoảng 34,2 triệu đô la tiền điện tử kể từ tháng 4 năm 2024. Nhóm này chủ yếu nhắm vào các cơ sở y tế của Mỹ thông qua những cuộc tấn công tinh vi đòi tiền chuộc lên đến 1,3 triệu đô la.
Nghiên cứu của TRM Labs gợi ý rằng nhóm này có thể là một thương hiệu lại của hoạt động BlackCat đã ngừng hoạt động. Các nạn nhân đã biết bao gồm American Associated Pharmacies, Bệnh viện và Nhà dưỡng lão Memorial ở Georgia, và Bệnh viện Weiser Memorial ở Idaho.
Các hoạt động tinh vi tránh các chiến thuật nổi bật
Embargo hoạt động theo mô hình ransomware-as-a-service, cung cấp cho các đối tác những công cụ tiên tiến trong khi vẫn giữ quyền kiểm soát đối với các hệ thống cốt lõi và các cuộc đàm phán thanh toán. Nhóm này tránh các chiến thuật nổi bật thấy trong các chiến dịch của LockBit hoặc Cl0p. Chiến lược này có thể giúp nó tránh được sự chú ý của cơ quan thực thi pháp luật trong khi mở rộng ra các lĩnh vực chăm sóc sức khỏe, dịch vụ kinh doanh và sản xuất.
Phân tích kỹ thuật cho thấy sự tương đồng với BlackCat, bao gồm việc sử dụng ngôn ngữ lập trình Rust, thiết kế trang web rò rỉ dữ liệu tương tự và cơ sở hạ tầng ví chung. Quỹ từ các địa chỉ BlackCat lịch sử đã chuyển đến các ví liên kết với các nạn nhân của Embargo.
Các cuộc tấn công do AI điều khiển nhắm vào hạ tầng quan trọng
Nhóm này sử dụng trí tuệ nhân tạo và học máy để tăng cường các cuộc tấn công và tránh bị phát hiện. Nó thường khai thác các lỗ hổng phần mềm chưa được vá hoặc sử dụng email lừa đảo được tạo ra bằng AI để chiếm quyền truy cập. Khi đã vào bên trong, Embargo triển khai các công cụ vô hiệu hóa các biện pháp bảo mật và loại bỏ các tùy chọn khôi phục trước khi mã hóa các tệp.
Nó áp dụng sự tống tiền kép bằng cách mã hóa và đánh cắp dữ liệu nhạy cảm. Nạn nhân phải đối mặt với những đe dọa về việc rò rỉ công khai hoặc bán trên dark web nếu không thực hiện thanh toán. Embargo quản lý tất cả các liên lạc thông qua hệ thống riêng của nó để duy trì quyền kiểm soát đàm phán. Một số sự cố chứa nội dung có chủ đề chính trị, gây lo ngại về khả năng liên kết với nhà nước.
Mạng lưới rửa tiền phức tạp liên quan đến các sàn giao dịch toàn cầu
Embargo rửa tiền chuộc thông qua các mạng lưới nhiều lớp sử dụng ví trung gian, các sàn giao dịch có rủi ro cao và các nền tảng bị trừng phạt như Cryptex.net. TRM Labs đã theo dõi khoảng 13,5 triệu USD qua nhiều nhà cung cấp tài sản ảo trên toàn thế giới. Giữa tháng 5 và tháng 8 năm 2024, ít nhất 17 khoản tiền gửi trên 1 triệu USD đã chuyển qua Cryptex.net.
Nhóm tránh việc sử dụng nhiều mixers hoặc cầu nối chuỗi chéo, thích chuyển tiền qua nhiều địa chỉ trước khi đến các sàn giao dịch. Khoảng 18,8 triệu đô la vẫn nằm trong các ví không hoạt động, có khả năng làm gián đoạn việc theo dõi hoặc trì hoãn chuyển tiền vì lý do chiến lược.
Tăng trưởng trong tổn thất do tội phạm mạng tiền điện tử
Sự xuất hiện của Embargo diễn ra giữa những tổn thất gia tăng do tội phạm mạng. Vào tháng 7 năm 2025, tổn thất liên quan đến hack tăng 27,2% lên 142 triệu đô la trong 17 sự cố. Nửa đầu năm 2025 ghi nhận hơn 2,2 tỷ đô la tổn thất từ 344 vụ việc. Các cuộc tấn công khác bao gồm một vụ vi phạm 44,2 triệu đô la của sàn giao dịch Ấn Độ CoinDCX có liên quan đến nhóm Lazarus và một vụ khai thác GMX 42 triệu đô la dẫn đến một khoản tiền thưởng 5 triệu đô la sau khi phục hồi.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Nhóm Phần mềm tống tiền Embargo Rửa tiền 34,2 triệu USD bằng Tiền điện tử nhằm vào các mạng lưới y tế của Mỹ
Ransomware Embargo đã rửa tiền 34,2 triệu đô la Mỹ bằng tiền điện tử kể từ tháng 4 năm 2024, chủ yếu nhắm vào các mục tiêu trong lĩnh vực chăm sóc sức khỏe tại Mỹ.
TRM Labs liên kết Embargo với BlackCat thông qua mã Rust chia sẻ thiết kế trang web rò rỉ tương tự và kết nối ví.
Nhóm này sử dụng AI lừa đảo và các lỗ hổng chưa được vá để đánh cắp dữ liệu, mã hóa tệp và yêu cầu tiền chuộc lên tới 1,3 triệu đô la.
Một nhóm ransomware-as-a-service có tên là Embargo đã rửa khoảng 34,2 triệu đô la tiền điện tử kể từ tháng 4 năm 2024. Nhóm này chủ yếu nhắm vào các cơ sở y tế của Mỹ thông qua những cuộc tấn công tinh vi đòi tiền chuộc lên đến 1,3 triệu đô la.
Nghiên cứu của TRM Labs gợi ý rằng nhóm này có thể là một thương hiệu lại của hoạt động BlackCat đã ngừng hoạt động. Các nạn nhân đã biết bao gồm American Associated Pharmacies, Bệnh viện và Nhà dưỡng lão Memorial ở Georgia, và Bệnh viện Weiser Memorial ở Idaho.
Các hoạt động tinh vi tránh các chiến thuật nổi bật
Embargo hoạt động theo mô hình ransomware-as-a-service, cung cấp cho các đối tác những công cụ tiên tiến trong khi vẫn giữ quyền kiểm soát đối với các hệ thống cốt lõi và các cuộc đàm phán thanh toán. Nhóm này tránh các chiến thuật nổi bật thấy trong các chiến dịch của LockBit hoặc Cl0p. Chiến lược này có thể giúp nó tránh được sự chú ý của cơ quan thực thi pháp luật trong khi mở rộng ra các lĩnh vực chăm sóc sức khỏe, dịch vụ kinh doanh và sản xuất.
Phân tích kỹ thuật cho thấy sự tương đồng với BlackCat, bao gồm việc sử dụng ngôn ngữ lập trình Rust, thiết kế trang web rò rỉ dữ liệu tương tự và cơ sở hạ tầng ví chung. Quỹ từ các địa chỉ BlackCat lịch sử đã chuyển đến các ví liên kết với các nạn nhân của Embargo.
Các cuộc tấn công do AI điều khiển nhắm vào hạ tầng quan trọng
Nhóm này sử dụng trí tuệ nhân tạo và học máy để tăng cường các cuộc tấn công và tránh bị phát hiện. Nó thường khai thác các lỗ hổng phần mềm chưa được vá hoặc sử dụng email lừa đảo được tạo ra bằng AI để chiếm quyền truy cập. Khi đã vào bên trong, Embargo triển khai các công cụ vô hiệu hóa các biện pháp bảo mật và loại bỏ các tùy chọn khôi phục trước khi mã hóa các tệp.
Nó áp dụng sự tống tiền kép bằng cách mã hóa và đánh cắp dữ liệu nhạy cảm. Nạn nhân phải đối mặt với những đe dọa về việc rò rỉ công khai hoặc bán trên dark web nếu không thực hiện thanh toán. Embargo quản lý tất cả các liên lạc thông qua hệ thống riêng của nó để duy trì quyền kiểm soát đàm phán. Một số sự cố chứa nội dung có chủ đề chính trị, gây lo ngại về khả năng liên kết với nhà nước.
Mạng lưới rửa tiền phức tạp liên quan đến các sàn giao dịch toàn cầu
Embargo rửa tiền chuộc thông qua các mạng lưới nhiều lớp sử dụng ví trung gian, các sàn giao dịch có rủi ro cao và các nền tảng bị trừng phạt như Cryptex.net. TRM Labs đã theo dõi khoảng 13,5 triệu USD qua nhiều nhà cung cấp tài sản ảo trên toàn thế giới. Giữa tháng 5 và tháng 8 năm 2024, ít nhất 17 khoản tiền gửi trên 1 triệu USD đã chuyển qua Cryptex.net.
Nhóm tránh việc sử dụng nhiều mixers hoặc cầu nối chuỗi chéo, thích chuyển tiền qua nhiều địa chỉ trước khi đến các sàn giao dịch. Khoảng 18,8 triệu đô la vẫn nằm trong các ví không hoạt động, có khả năng làm gián đoạn việc theo dõi hoặc trì hoãn chuyển tiền vì lý do chiến lược.
Tăng trưởng trong tổn thất do tội phạm mạng tiền điện tử
Sự xuất hiện của Embargo diễn ra giữa những tổn thất gia tăng do tội phạm mạng. Vào tháng 7 năm 2025, tổn thất liên quan đến hack tăng 27,2% lên 142 triệu đô la trong 17 sự cố. Nửa đầu năm 2025 ghi nhận hơn 2,2 tỷ đô la tổn thất từ 344 vụ việc. Các cuộc tấn công khác bao gồm một vụ vi phạm 44,2 triệu đô la của sàn giao dịch Ấn Độ CoinDCX có liên quan đến nhóm Lazarus và một vụ khai thác GMX 42 triệu đô la dẫn đến một khoản tiền thưởng 5 triệu đô la sau khi phục hồi.