Um grupo de ransomware relativamente novo, conhecido como Embargo, tornou-se um dos principais atores no submundo do crime cibernético, movimentando mais de US$ 34 milhões em pagamentos de resgates ligados a criptomoedas desde abril de 2024.

Operando sob o modelo de ransomware como serviço (RaaS), o Embargo atingiu infraestrutura crítica nos Estados Unidos, incluindo hospitais e redes farmacêuticas, segundo a empresa de inteligência em blockchain TRM Labs.

As vítimas incluem a American Associated Pharmacies, o Memorial Hospital and Manor, na Geórgia, e o Weiser Memorial Hospital, em Idaho. As exigências de resgate chegaram a até US$ 1,3 milhão.

A investigação da TRM sugere que o Embargo pode ser uma versão rebatizada da famosa operação BlackCat (ALPHV), que desapareceu após um suposto golpe de saída no início deste ano. Os dois grupos compartilham semelhanças técnicas, usando a linguagem de programação Rust, operando sites de vazamento de dados semelhantes e apresentando conexões on-chain por meio de infraestrutura de carteiras compartilhadas.

Visualizador de gráficos da TRM mostrando um pequeno cluster de carteiras do Embargo com entrada de fundos vinculados ao BlackCat (ALPHV). Fonte: TRM Labs

Embargo mantém US$ 18,8 milhões em criptomoedas inativas

Cerca de US$ 18,8 milhões dos lucros em criptomoedas do Embargo permanecem parados em carteiras não vinculadas, uma tática que especialistas acreditam ser destinada a atrasar a detecção ou aproveitar melhores condições de lavagem no futuro.

O grupo usa uma rede de carteiras intermediárias, exchanges de alto risco e plataformas sancionadas, incluindo a Cryptex.net, para ocultar a origem dos fundos. De maio a agosto, a TRM rastreou pelo menos US$ 13,5 milhões passando por diversos provedores de serviços de ativos virtuais e mais de US$ 1 milhão movimentado apenas pela Cryptex.

Embora não seja tão visivelmente agressivo quanto o LockBit ou o Cl0p, o Embargo adotou táticas de dupla extorsão, criptografando sistemas e ameaçando vazar dados confidenciais caso as vítimas não paguem. Em alguns casos, o grupo chegou a divulgar publicamente nomes de pessoas ou a vazar dados em seu site para aumentar a pressão.

O Embargo tem como alvo principal setores em que o tempo de inatividade gera altos custos, incluindo saúde, serviços corporativos e manufatura, e mostrou preferência por vítimas baseadas nos Estados Unidos, provavelmente devido à maior capacidade de pagamento.

Reino Unido vai proibir pagamentos de ransomware no setor público

O Reino Unido está prestes a proibir pagamentos de ransomware para todos os órgãos do setor público e operadores de infraestrutura nacional crítica, incluindo energia, saúde e conselhos locais. A proposta cria um regime de prevenção que exige que vítimas fora da proibição relatem pagamentos de resgate pretendidos.

O plano também inclui um sistema obrigatório de relatórios, no qual as vítimas deverão enviar um relatório inicial ao governo dentro de 72 horas após um ataque e um relatório detalhado em até 28 dias.

Segundo a Chainalysis, os ataques de ransomware tiveram queda de 35% no ano passado. Foi a primeira queda nas receitas de ransomware desde 2022, de acordo com o relatório.