Embargo勒索软件团伙通过针对美国医疗保健网络的攻击洗钱3420万美元。TRM实验室通过AI驱动攻击分析,确认该组织与BlackCat存在关联。
自2024年4月起,名为Embargo的勒索软件即服务(RaaS)组织已通过加密货币清洗约3420万美元赃款。该团伙主要针对美国医疗机构发起高级持续性威胁攻击,单次勒索金额最高达130万美元。
TRM实验室研究表明,该组织可能是已解散的BlackCat运营团队的马甲。已知受害者包括美国联合药房、乔治亚州纪念医院及庄园、爱达荷州韦瑟纪念医院等机构。
规避高调手法实施精密攻击
Embargo采用勒索软件即服务模式运营,在为附属团伙提供高级攻击工具的同时,牢牢掌控核心系统与赎金谈判主导权。该组织避免使用LockBit或Cl0p等团伙惯用的高调攻击手法,这种策略可能帮助其在医疗保健、商业服务和制造业领域扩张时规避执法追查。
技术分析显示其与BlackCat存在多项共性:均使用Rust编程语言开发恶意软件、数据泄露网站设计相似、共享钱包基础设施。历史数据显示,原属BlackCat的多个钱包资金已流向与Embargo受害者关联的地址。
AI驱动攻击瞄准关键基础设施
该组织利用人工智能和机器学习技术增强攻击效果并规避检测,常通过未修复的软件漏洞或AI生成的钓鱼邮件渗透目标网络。入侵成功后,Embargo会部署工具禁用安全防护措施、删除系统恢复选项,继而实施文件加密。
其采用"双重勒索"策略,在加密数据的同时窃取敏感信息。若受害者拒付赎金,则面临数据公开泄露或被暗网拍卖的威胁。所有通信均通过自建系统完成以维持谈判控制权。部分攻击事件包含政治主题内容,引发其可能具有国家背景的担忧。
全球交易所构成的复杂洗钱网络
Embargo通过多层网络清洗赎金,涉及中间钱包、高风险交易所以及Cryptex.net等受制裁平台。TRM实验室在全球范围内追踪到约1350万美元资金流经多个虚拟资产服务商。2024年5月至8月期间,至少有17笔超百万美元的资金通过Cryptex.net转移。
该团伙避免过度使用混币器或跨链桥,倾向在资金到达交易所前经多个地址周转。目前约1880万美元仍滞留在休眠钱包中,可能是为扰乱追踪或出于战略考虑延迟转移。
加密货币网络犯罪损失激增
Embargo的涌现正值网络犯罪损失攀升之际。2025年7月,17起黑客事件造成1.42亿美元损失,同比激增27.2%。2025年上半年344起案件累计损失超22亿美元。其他重大事件包括与Lazarus集团关联的印度交易所CoinDCX遭窃4420万美元,以及GMX协议被利用致损4200万美元(追回后仍产生500万美元漏洞赏金)。
