Um novo grupo de ransomware, chamado Embargo, está chamando a atenção no universo do crime cibernético. Desde abril de 2024, esse grupo movimentou mais de US$ 34 milhões em pagamentos de resgates relacionados a criptomoedas. O modelo que eles usam é o famoso ransomware como serviço (RaaS), e eles têm atacado alvos significativos nos Estados Unidos, como hospitais e redes farmacêuticas, conforme apontou a empresa de inteligência em blockchain TRM Labs.
Entre as vítimas do Embargo, encontramos instituições como a American Associated Pharmacies, o Memorial Hospital and Manor na Geórgia, e o Weiser Memorial Hospital em Idaho. Os resgates exigidos chegaram a cifras altíssimas, com alguns valores superando US$ 1,3 milhão.
Havia uma suspeita de que o Embargo poderia ser uma rebranded da famosa operação BlackCat (ALPHV), que teve sumiço após um golpe no início deste ano. Ambas as operações compartilham várias características técnicas, como o uso da linguagem de programação Rust, e administram sites de vazamento de dados de forma semelhante, além de apresentarem conexões entre suas carteiras.
Embargo mantém US$ 18,8 milhões em criptomoedas paradas
Cerca de US$ 18,8 milhões dos lucros conquistados pelo Embargo em criptomoedas estão parados em carteiras não vinculadas. Segundo especialistas, essa estratégia visa dificultar a detecção e buscar melhores oportunidades para lavar o dinheiro no futuro. O grupo utiliza uma rede de carteiras intermediárias, exchanges de alto risco e plataformas sob sanção, como a Cryptex.net, para esconder a origem dos fundos. De maio a agosto, a TRM rastreou pelo menos US$ 13,5 milhões passando por diferentes provedores de serviços de ativos virtuais e mais de US$ 1 milhão movimentado somente pela Cryptex.
Embora o Embargo não tenha a visibilidade agressiva de grupos como LockBit ou Cl0p, eles utilizam uma tática chamada de dupla extorsão. Isso significa que eles criptografam sistemas e ameaçam divulgar dados sensíveis caso as vítimas não paguem. Em algumas situações, o grupo chegou a tornar públicos os nomes de algumas pessoas ou vazou dados em seu site para aumentar a pressão sobre as vítimas.
Entre os setores visados, os que enfrentam altos custos com inatividade, como saúde e serviços corporativos, estão no foco do Embargo. Eles mostram uma preferência por vítimas localizadas nos Estados Unidos, o que sugere que o alvo busca indivíduos ou instituições com maior poder de pagamento.
Reino Unido proíbe pagamentos de ransomware no setor público
Enquanto isso, no Reino Unido, uma nova proposta está para ser aplicada: a proibição de pagamentos de ransomware para todos os órgãos públicos e operadores de infraestruturas críticas, como energia e saúde. Essa proposta busca criar um regime de prevenção, onde as vítimas que não estão sob a proibição terão que relatar os pagamentos de resgate que pretendem fazer.
Além disso, o plano inclui um sistema de relatórios obrigatório. Nele, as vítimas devem enviar um relatório inicial ao governo em até 72 horas após um ataque e, em até 28 dias, um relatório detalhado.
De acordo com a Chainalysis, os ataques de ransomware sofreram uma queda de 35% no último ano. Essa é a primeira redução na receita desse tipo de crime desde 2022, mostrando que as medidas estão começando a surtir efeito, mesmo que lentamente.
