Группа вымогателей Embargo заработала $34,2 млн за год: следы ведут к BlackCat

«Киберпреступность — это не хакерская угроза, это финансовая угроза, построенная на анонимности криптовалют.»
— Алекссандра Брукс, директор по кибербезопасности Chainalysis

Группа вымогателей Embargo заработала более 34,2 миллиона долларов с момента своего появления в апреле 2024 года, став одной из самых прибыльных киберпреступных организаций 2024–2025 годов. Об этом свидетельствуют данные аналитической компании TRM Labs, специализирующейся на отслеживании криптовалютных преступлений. Основной вектор атак — критически важные отрасли США: здравоохранение, производство и бизнес-услуги. При этом суммы выкупа за одну атаку достигали 1,3 миллиона долларов, а общая сумма украденных средств продолжает расти.

Что особенно тревожно: значительная часть средств — около 18,8 миллиона долларов — до сих пор находится на неидентифицированных криптокошельках, что указывает на сложность расследований и устойчивость преступной инфраструктуры. Эти цифры делают Embargo одной из самых эффективных и опасных групп вымогателей последних лет, использующих криптовалюту как основной инструмент финансирования и отмывания денег.

🏥 Цели атак: больницы, аптеки и угроза жизни пациентов

Особенностью стратегии Embargo является целенаправленное нападение на медицинские учреждения, где сбой в работе может иметь катастрофические последствия. Среди подтвержденных жертв — Memorial Hospital and Manor (Джорджия), Weiser Memorial Hospital (Айдахо) и American Associated Pharmacies, крупная сеть аптек, обслуживающая тысячи пациентов по всей стране.

Выбор медицинских организаций не случаен: преступники осознают, что перебои в работе могут напрямую угрожать жизни людей, что повышает вероятность быстрого получения выкупа. В некоторых случаях атаки приводили к отмене операций, задержкам в поставках лекарств и временному закрытию отделений.

Группа использует тактику двойного шантажа (double extortion): помимо шифрования данных, злоумышленники похищают конфиденциальную информацию — медицинские записи, персональные данные пациентов, финансовые документы — и угрожают опубликовать их в даркнете, если выкуп не будет уплачен. Это не только увеличивает давление на жертву, но и создаёт серьёзные юридические и репутационные риски, включая штрафы за нарушение HIPAA (Закон о переносимости и подотчётности медицинского страхования).

🔍 Связь с BlackCat: не просто подражание, а преемственность

Одним из ключевых открытий TRM Labs стало обнаружение технических и инфраструктурных связей между Embargo и ранее действовавшей группой BlackCat (ALPHV), которая, по данным правоохранительных органов, прекратила деятельность в конце 2023 — начале 2024 года после серии арестов и внутреннего конфликта, известного как exit scam.

Аналитики выявили несколько факторов, указывающих на прямую преемственность:

• Язык программирования Rust — редко используемый в вымогателях, но характерный как для BlackCat, так и для Embargo.
• Идентичный дизайн сайта утечек данных — включая структуру, цветовую схему и функциональность.
• Общая инфраструктура — совпадающие IP-адреса, домены и серверы хранения.
• Ончейн-связи — анализ блокчейна показал, что криптовалюты с кошельков, связанных с BlackCat, были переведены на адреса, использованные в атаках Embargo.

Эти данные позволяют предположить, что Embargo — не просто новая группа, вдохновлённая BlackCat, а переформатированная версия той же киберпреступной организации, сменившей название и тактику после временного отступления. Возможно, часть бывших участников BlackCat, включая разработчиков и операторов, перешла под новое знамя, сохранив техническую базу и бизнес-модель.

💰 Методы отмывания: обход миксеров, работа с высокорисковыми биржами

В отличие от многих киберпреступников, которые активно используют криптомиксеры (например, Tornado Cash), Embargo предпочитает более изощрённые методы маскировки следов. Группа избегает массового применения миксеров, что снижает риск блокировки средств на централизованных биржах, но при этом активно использует:

• Многоступенчатое перемещение средств через сотни промежуточных кошельков (chain hopping).
• Высокорисковые криптобиржи и платформы, не соблюдающие AML/KYC, такие как Cryptex.net.
• Санкционные и теневые обменники, включая децентрализованные платформы с низким уровнем верификации.
• Ограниченное использование миксеров — например, TRM Labs зафиксировала лишь два депозита через Wasabi Wallet.

Между мая и августом 2024 года через различные виртуальные платформы было проведено около 13,5 миллиона долларов, из которых более 1 миллиона прошло через Cryptex.net. Это указывает на системный подход к легализации средств, ориентированный на уклонение от отслеживания и вывод в фиат.

Также отмечено, что группа намеренно замораживает средства на промежуточных кошельках на недели или месяцы — вероятно, чтобы дождаться снижения интереса со стороны СМИ, правоохранительных органов или в периоды низкой активности в блокчейн-аналитике.

🛠️ Ransomware-as-a-Service: как работает преступная франшиза

Embargo функционирует по модели Ransomware-as-a-Service (RaaS) — то есть предоставляет своё вредоносное ПО партнёрам-аффилиатам, которые проводят атаки, в то время как основная группа контролирует ключевые процессы: шифрование, переговоры и сбор выкупа.

Эта модель позволяет:

• Масштабировать атаки по всему миру без прямого участия разработчиков.
• Делегировать риски — аффилиаты несут ответственность за проникновение, а основная группа остаётся в тени.
• Создавать устойчивую экосистему: аффилиаты получают до 80% выкупа, а операторы — 20%, что мотивирует постоянный поток новых участников.

По данным Europol, в 2024 году более 70% крупных атак вымогателей были проведены через RaaS-платформы, что делает их главной угрозой для бизнеса и государственных структур.

🌐 Глобальная угроза: что делают власти и как защищаться

Несмотря на усилия правоохранительных органов, такие как FBI, CISA и Europol, полное подавление групп вроде Embargo остаётся сложной задачей. В 2024 году было закрыто более 200 криптоадресов, связанных с вымогателями, но новые появляются быстрее.

Ключевые меры по защите:

• Регулярное резервное копирование данных вне сети (air-gapped backups).
• Многофакторная аутентификация (MFA) для всех систем.
• Обучение сотрудников фишингу и социальной инженерии.
• Сегментация сетей — чтобы изолировать критические системы.
• Мониторинг блокчейна с помощью решений от Chainalysis, TRM Labs, Elliptic.

В июле 2025 года CISA выпустил предупреждение о росте атак на медицинский сектор, назвав вымогателей «приоритетной угрозой национальной безопасности».

📉 Крипторынок как инструмент преступления: данные и тренды

По данным Chainalysis, в 2024 году преступники получили 1,9 миллиарда долларов в криптовалюте в качестве выкупа — на 21% меньше, чем в 2023, но смещение происходит в сторону более целевых и прибыльных атак, как у Embargo.

При этом доля атак на государственные и медицинские учреждения выросла с 12% в 2023 до 28% в 2024. Это связано с высокой мотивацией жертв к быстрой оплате и наличием устаревших систем безопасности.

США остаются основной мишенью — на них приходится более 60% всех атак вымогателей в 2024–2025 годах. Второе и третье место занимают Великобритания и Германия.

🔮 Выводы: киберпреступность 2.0 на стыке технологий и анонимности

Группа Embargo — яркий пример того, как киберпреступность эволюционирует в эпоху Web3. Это не просто хакеры, а организованные преступные структуры, использующие передовые технологии, криптовалюту и бизнес-модели для максимизации прибыли.

Связь с BlackCat указывает на устойчивость и адаптивность таких групп: даже после «падения» они могут возродиться под новым именем, сохранив техническую базу и сети сбыта.

Атаки на здравоохранение — это не просто экономическая угроза, а угроза общественной безопасности. Они требуют не только технических решений, но и усиления международного сотрудничества, регулирования криптоактивов и создания единой системы отслеживания криминальных транзакций.

Пока криптовалюты остаются относительно анонимными и децентрализованными, группы вроде Embargo будут продолжать существовать. Однако рост возможностей блокчейн-аналитики, давление со стороны регуляторов и повышение осведомлённости жертв могут стать теми факторами, которые в конечном итоге ограничат их влияние.