Новая группа вымогателей Embargo с апреля 2024 года переместила свыше $34 млн в криптовалюте, полученных в качестве выкупа, согласно отчёту аналитической фирмы TRM Labs. Действуя по модели «вымогательство как услуга» (RaaS), группировка атаковала критическую инфраструктуру США, включая больницы и фармацевтические сети. Среди подтверждённых жертв — American Associated Pharmacies, Мемориальный госпиталь в Джорджии и клиника Вейзера в Айдахо, где требования достигали $1,3 млн.
Эксперты TRM Labs обнаружили техническое сходство Embargo с исчезнувшей группировкой BlackCat (ALPHV): идентичное использование языка Rust, структура сайтов для утечек данных и пересекающаяся инфраструктура кошельков. Около $18,8 млн из полученных средств остаются в спящих кошельках — вероятно, для уклонения от отслеживания или ожидания благоприятных условий для отмывания.
Для обналичивания Embargo применяла сеть посреднических кошельков, высокорисковые биржи и санкционированные платформы, включая Cryptex.net. С мая по август через виртуальные сервисы было отмыто $13,5 млн, из которых $1 млн прошёл через Cryptex. Группировка использует тактику двойного шантажа: шифрование систем и угрозы публикации украденных данных, целенаправленно выбирая отрасли с высокой стоимостью простоя — здравоохранение, производство и бизнес-услуги в США.
На фоне общего снижения доходов ransomware на 35% в 2024 году (данные Chainalysis), активность Embargo подтверждает сохранение угрозы. Параллельно Великобритания готовит запрет на выплаты выкупа госсектором и операторами критической инфраструктуры с обязательной отчётностью об инцидентах в течение 72 часов.