Группировка Embargo за короткий срок стала заметным участником в мире ПО для вымогания. Эксперты TRM считают, что программа хакеров может быть переименованной или дополненной версией BlackCat, также известной как ALPHV. На это указывают технические и поведенческие совпадения. Среди них использование языка программирования Rust, схожий дизайн сайта с утечками данных и общие черты в инфраструктуре криптовалютных кошельков.
Embargo активно применяет сложные методы для отмывания средств, полученных в результате атак. Выкуп переводится через промежуточные кошельки, высокорисковые биржи и даже санкционные платформы, включая Cryptex.net. На данный момент примерно $18,8 млн остаются в кошельках, которые невозможно связать с конкретными владельцами. Эксперты полагают, что это часть стратегии по сокрытию происхождения средств. Такая практика позволяет группе избегать блокировок и преследования со стороны властей.
Технический уровень Embargo оценивается как высокий. Группа, вероятно, уже внедряет искусственный интеллект и машинное обучение в свою работу. Эти технологии помогают создавать более убедительные фишинговые письма и адаптировать вредоносные программы под цели. Также это ускоряет проведение атак и масштабирование операций. Использование Rust дает возможность разрабатывать кроссплатформенные решения, что усложняет работу специалистов по кибербезопасности.
Важной частью тактики Embargo остается метод двойного вымогательства. После проникновения в систему злоумышленники шифруют данные, а затем угрожают их публикацией или продажей. Такой подход усиливает давление на жертв и увеличивает вероятность получения выкупа. Этот метод давно стал стандартом для крупных группировок, но Embargo использует его особенно активно.
Криптовалюта играет ключевую роль в деятельности этой группы. Она обеспечивает анонимность и позволяет переводить средства через границы без участия традиционных финансовых институтов. Чаще всего злоумышленники принимают оплату в биткоине, хотя некоторые операции проходят и в Monero (XMR) из-за его конфиденциальных функций. Несмотря на усилия правоохранительных органов по отслеживанию транзакций, Embargo продолжает адаптироваться.