Embargo — франшиза преступного мира. Страны под огнём нового поколения вымогателей

С момента появления весной 2024 года группировка Embargo, работающая по модели вымогательского ПО как услуги ( RaaS ), быстро заняла заметное место в киберпреступной среде. По данным TRM Labs, на кошельки, связанные с этой структурой, могло поступить около 34,2 млн долларов США, при этом большинство жертв находились в США и представляли здравоохранение, бизнес-услуги и промышленное производство. В отдельных случаях требования достигали 1,3 млн долларов.

TRM оценивает, что Embargo может быть переименованной или правопреемной структурой BlackCat (ALPHV) , что подтверждается как техническими, так и поведенческими совпадениями. Обе группировки используют язык Rust, схожее оформление сайтов для публикации похищенных данных и имеют пересечения в криптовалютной инфраструктуре. Значительная часть вырученных средств проходит через промежуточные кошельки, высокорисковые биржи и даже санкционные платформы, включая Cryptex.net . Около 18,8 млн долларов остаются на неатрибутированных адресах, что, вероятно, отражает стратегию затягивания транзакций для усложнения отслеживания.

Технический уровень Embargo позволяет предполагать использование искусственного интеллекта и машинного обучения для масштабирования атак, генерации более убедительных фишинговых писем, модификации вредоносного кода и ускорения операций. Как и у других RaaS-групп, криптовалюты — преимущественно Bitcoin, а иногда Monero — играют ключевую роль в вымогательской схеме. Несмотря на рост усилий правоохранителей по отслеживанию транзакций, преступники продолжают адаптировать методы, усложняя обнаружение.

Embargo действует по модели предоставления инструментов аффилированным хакерам, сохраняя за собой контроль над инфраструктурой и переговорами о выплатах. Такой подход позволяет быстро масштабировать атаки и охватывать разные регионы, при этом группа избегает чрезмерного публичного давления на жертв и шумных тактик, что снижает внимание СМИ и спецслужб. Тем не менее, методы остаются агрессивными: используются двойное вымогательство с шифрованием и кражей данных, публикация имён и персональной информации на утечечных сайтах, а в отдельных случаях и политически окрашенные сообщения, что усложняет атрибуцию и поднимает вопрос о возможных государственных связях.

Наибольшее внимание Embargo уделяет организациям с высокой зависимостью от непрерывной работы — особенно в медицине, где сбои способны угрожать жизни пациентов. Географически приоритетом остаются США, где, по мнению группы, выше вероятность получения крупных выкупов. Первичный доступ достигается через эксплуатацию неустранённых уязвимостей и социальную инженерию — от фишинговых писем до drive-by-загрузок. После проникновения применяются инструменты для отключения защитных средств и удаления резервных копий, а обмен сообщениями ведётся через контролируемые Embargo каналы.

TRM зафиксировала, что при отмывании средств группа предпочитает многоступенчатое перемещение через цепочку кошельков, а не активное использование миксеров. Депозиты на глобальные биржи составили более 13 млн долларов, а часть переводов шла через Cryptex.net. Задержка перемещений, хранение средств на промежуточных этапах и распределение активов между участниками указывают на выверенную финансовую стратегию.

С учётом интеграции ИИ в арсенал RaaS-группировок, подобные Embargo структуры получают инструменты для автоматизации разведки, сканирования уязвимостей, генерации вредоносов и даже создания дипфейков руководителей компаний для усиления социально-инженерных атак. При этом ИИ становится и средством защиты — системы на его основе могут выявлять нетипичную сетевую активность и признаки шифрования данных.

Embargo демонстрирует, что современное вымогательское ПО сочетает технический прогресс, продуманные финансовые схемы и адаптацию под политический контекст. Противодействие требует сочетания технологической защиты, постоянного обновления ПО, обучения персонала и международного сотрудничества, а также точной и своевременной разведки угроз.