گروه هکرهای امبرا در یک سال بیش از ۳۴ میلیون دلار سرقت و حملات سایبری هدفمند در حوزه‌های حیاتی را انجام داد

گروه باج‌افزار امبرگو (Embargo) از آوریل ۲۰۲۴ تاکنون حدود ۳۴.۲ میلیون دلار از طریق حملات سایبری سرقت کرده است. این گروه هدف قرار دادن بخش‌های بهداشت و درمان، خدمات تجاری و تولید را در اولویت قرار داده است.

بیشتر قربانیان در ایالات متحده قرار دارند و میزان باج‌خواهی در هر حمله به طور متوسط تا ۱.۳ میلیون دلار برآورد می‌شود. از جمله اهداف مهم این گروه می‌توان به داروخانه‌های آمریکایی، بیمارستان‌های Memorial و Manor در جورجیا و بیمارستان Weiser در آیداهو اشاره کرد.

تحقیقات شرکت TRM لبز (TRM Labs) نشان می‌دهد که حدود ۱۸.۸ میلیون دلار از وجوه سرقت‌شده در کیف‌پول‌های بدون نسبت و ناشناس باقی مانده است که هنوز مشخص نیست به چه منظور و توسط چه فرد یا گروهی نگهداری می‌شود.

شبه‌ارتباط با گروه BlackCat در هک‌های سایبری مطرح است

بر اساس گزارش‌های منتشر شده توسط شرکت TRM لبز (TRM Labs)، احتمال می‌رود گروه باج‌افزار امبرگو (Embargo) نسخه تغییرنام یافته گروه متوقف‌شده بلک‌کت (BlackCat یا ALPHV) باشد. تحلیل‌های فنی نشان می‌دهد که شباهت‌های قابل توجهی در ساختار فنی و زیرساخت‌های هر دو گروه وجود دارد.

هر دو گروه از زبان برنامه‌نویسی Rust بهره می‌برند و طراحی و عملکرد سایت‌های لو رفتن داده‌هایشان شباهت زیادی دارد. بررسی‌های روی زنجیره بلوکی نشان می‌دهد آدرس‌های مرتبط با بلک‌کت در گذشته، رمزارزهای سرقت‌شده را به گروه‌هایی مرتبط با قربانیان امبرگو منتقل کرده است.

این ارتباط نشان می‌دهد که احتمالا اپراتورهای امبرگو یا از عملیات بلک‌کت ارث برده‌اند یا پس از خروج احتمالی این گروه در سال ۲۰۲۴، از آن توسعه یافته‌اند. امبرگو بر پایه مدل رانسوم‌ویر-آز-آ-سرویس (ransomware-as-a-service) فعالیت می‌کند، به این صورت که ابزارهای لازم را در اختیار همکاران قرار می‌دهد و کنترل عملیات اصلی و مذاکرات پرداخت‌ها را در دست دارد. این ساختار، امکان توسعه سریع در بخش‌ها و مناطق جغرافیایی مختلف را فراهم می‌کند.

رسانه‌های امروزی، استفاده پیچیده از روش‌های پول‌شویی در حملات باج‌افزار امبارگو

سازمان‌های مجرمانه از پلتفرم‌های تحریم‌شده مانند Cryptex.net، صرافی‌های پرریسک و کیف‌پول‌های واسطه‌ای برای پولشویی رمزارزهای سرقت‌شده بهره می‌برند. در بازه زمانی می، مه و آگوست ۲۰۲۴، شرکت TRM Labs حدود ۱۳.۵ میلیون دلار ورودی از طریق ارائه‌دهندگان خدمات دارایی‌های مجازی را رصد کرد که بیش از یک میلیون دلار آن از طریق Cryptex.net منتقل شده است.

این گروه از روش‌هایی برای کاهش ردیابی پول‌شویی بهره می‌گیرد که شامل عدم تکیه بر سرویس‌های میکسرهای رمزارز و انجام تراکنش‌ها در چندین آدرس مختلف قبل از واریز مستقیم به صرافی‌ها است. در موارد محدودی، از میکسر Wasabi نیز استفاده شده است، اما تعداد تراکنش‌های آن کم بوده است.

در فرآیند پولشویی، مجرمان با نگهداری موقت وجوه در مراحل مختلف، قصد دارند الگوهای ردیابی را مختل کرده یا در انتظار شرایط مطلوب‌تر مانند کاهش توجه رسانه‌ای یا کاهش کارمزدهای شبکه، نگهداری کنند.

این گروه به‌طور خاص سازمان‌های بهداشتی را هدف قرار می‌دهد تا از طریق ایجاد اختلال در عملیات، فشار بیشتری بر آن‌ها وارد کند. حملات به نهادهای درمانی می‌تواند مستقیماً بر مراقبت‌های پزشکی تأثیر گذاشته و عواقب جانی و مالی جدی به همراه داشته باشد، همچنین فشار برای پرداخت فوری باج را افزایش می‌دهد.

در ادامه، مجرمان از استراتژی‌های دوگانه برای اخاذی بهره می‌برند؛ به این صورت که فایل‌ها را رمزگذاری کرده و همزمان داده‌های حساس را سرقت می‌کنند. در صورت امتناع قربانیان، تهدید می‌شود که داده‌ها روی دارک وب به فروش می‌رسد یا فاش می‌شود، که این موارد علاوه بر خسارت مالی، تبعات منفی بر شهرت و وضعیت قانونی شرکت‌ها دارد.

منبع: کریپتو.نیوز