O ransomware Embargo lavou 34,2 milhões de dólares em cripto desde abril de 2024, atingindo principalmente alvos do setor de saúde dos EUA.
A TRM Labs liga o Embargo ao BlackCat através de um código Rust compartilhado, design de site de vazamento semelhante e conexões de carteira.
O grupo utiliza phishing com IA e falhas não corrigidas para roubar dados, criptografar arquivos e exigir resgates de até 1,3 milhões de dólares.
Um grupo de ransomware como serviço chamado Embargo lavou cerca de $34,2 milhões em criptomoeda desde abril de 2024. O grupo tem como alvo principalmente instalações de saúde dos EUA através de ataques avançados exigindo resgates de até $1,3 milhão.
A pesquisa da TRM Labs sugere que o grupo pode ser uma rebrand da operação BlackCat, que já não está em funcionamento. As vítimas conhecidas incluem a American Associated Pharmacies, o Memorial Hospital e Manor na Geórgia, e o Weiser Memorial Hospital em Idaho.
Operações Sofisticadas Evitam Táticas de Alto Perfil
O Embargo opera sob um modelo de ransomware como serviço, dando aos afiliados ferramentas avançadas enquanto mantém o controle sobre os sistemas centrais e as negociações de pagamento. O grupo evita as táticas de alto perfil vistas nas campanhas LockBit ou Cl0p. Esta estratégia pode ajudá-lo a escapar da aplicação da lei enquanto se expande pelos setores de saúde, serviços empresariais e manufatura.
A análise técnica mostra semelhanças com o BlackCat, incluindo o uso da linguagem de programação Rust, designs de sites de vazamento de dados semelhantes e infraestrutura de carteira compartilhada. Fundos de endereços históricos do BlackCat foram transferidos para carteiras ligadas a vítimas do Embargo.
Ataques Impulsionados por IA Visam Infraestruturas Críticas
O grupo utiliza inteligência artificial e aprendizagem automática para melhorar ataques e evitar deteção. Explora frequentemente vulnerabilidades de software não corrigidas ou utiliza e-mails de phishing gerados por IA para obter acesso. Uma vez dentro, o Embargo implementa ferramentas que desativam medidas de segurança e removem opções de recuperação antes de encriptar arquivos.
Aplica dupla extorsão ao criptografar e roubar dados sensíveis. As vítimas enfrentam ameaças de vazamentos públicos ou vendas na dark web se os pagamentos não forem feitos. O Embargo gerencia todas as comunicações através de seus próprios sistemas para manter o controle das negociações. Alguns incidentes contêm conteúdo de temática política, levantando preocupações sobre uma possível aliança estatal.
Redes de Lavagem Complexas Envolvendo Bolsas Globais
O embargo lava pagamentos de resgate através de redes em camadas usando carteiras intermediárias, exchanges de alto risco e plataformas sancionadas como Cryptex.net. A TRM Labs rastreou cerca de 13,5 milhões de dólares através de vários provedores de ativos virtuais em todo o mundo. Entre maio e agosto de 2024, pelo menos 17 depósitos superiores a 1 milhão de dólares foram movimentados através da Cryptex.net.
O grupo evita o uso intensivo de misturadores ou pontes entre cadeias, preferindo encaminhar fundos através de vários endereços antes de chegar às exchanges. Cerca de 18,8 milhões de dólares permanecem em carteiras dormentes, provavelmente para interromper o rastreio ou atrasar transferências por razões estratégicas.
Aumento nas Perdas de Cibercrime em Cripto
O surgimento do Embargo ocorre em meio ao aumento das perdas por crimes cibernéticos. Em julho de 2025, as perdas relacionadas a hacks aumentaram 27,2% para $142 milhões em 17 incidentes. A primeira metade de 2025 registrou mais de $2,2 bilhões em perdas de 344 casos. Outros ataques incluem uma violação de $44,2 milhões na exchange indiana CoinDCX ligada ao Lazarus Group e um exploit de $42 milhões na GMX que deixou uma recompensa de $5 milhões após a recuperação.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Grupo de Ransomware Embargo Lava $34.2M em Cripto Alvo das Redes de Saúde dos EUA
O ransomware Embargo lavou 34,2 milhões de dólares em cripto desde abril de 2024, atingindo principalmente alvos do setor de saúde dos EUA.
A TRM Labs liga o Embargo ao BlackCat através de um código Rust compartilhado, design de site de vazamento semelhante e conexões de carteira.
O grupo utiliza phishing com IA e falhas não corrigidas para roubar dados, criptografar arquivos e exigir resgates de até 1,3 milhões de dólares.
Um grupo de ransomware como serviço chamado Embargo lavou cerca de $34,2 milhões em criptomoeda desde abril de 2024. O grupo tem como alvo principalmente instalações de saúde dos EUA através de ataques avançados exigindo resgates de até $1,3 milhão.
A pesquisa da TRM Labs sugere que o grupo pode ser uma rebrand da operação BlackCat, que já não está em funcionamento. As vítimas conhecidas incluem a American Associated Pharmacies, o Memorial Hospital e Manor na Geórgia, e o Weiser Memorial Hospital em Idaho.
Operações Sofisticadas Evitam Táticas de Alto Perfil
O Embargo opera sob um modelo de ransomware como serviço, dando aos afiliados ferramentas avançadas enquanto mantém o controle sobre os sistemas centrais e as negociações de pagamento. O grupo evita as táticas de alto perfil vistas nas campanhas LockBit ou Cl0p. Esta estratégia pode ajudá-lo a escapar da aplicação da lei enquanto se expande pelos setores de saúde, serviços empresariais e manufatura.
A análise técnica mostra semelhanças com o BlackCat, incluindo o uso da linguagem de programação Rust, designs de sites de vazamento de dados semelhantes e infraestrutura de carteira compartilhada. Fundos de endereços históricos do BlackCat foram transferidos para carteiras ligadas a vítimas do Embargo.
Ataques Impulsionados por IA Visam Infraestruturas Críticas
O grupo utiliza inteligência artificial e aprendizagem automática para melhorar ataques e evitar deteção. Explora frequentemente vulnerabilidades de software não corrigidas ou utiliza e-mails de phishing gerados por IA para obter acesso. Uma vez dentro, o Embargo implementa ferramentas que desativam medidas de segurança e removem opções de recuperação antes de encriptar arquivos.
Aplica dupla extorsão ao criptografar e roubar dados sensíveis. As vítimas enfrentam ameaças de vazamentos públicos ou vendas na dark web se os pagamentos não forem feitos. O Embargo gerencia todas as comunicações através de seus próprios sistemas para manter o controle das negociações. Alguns incidentes contêm conteúdo de temática política, levantando preocupações sobre uma possível aliança estatal.
Redes de Lavagem Complexas Envolvendo Bolsas Globais
O embargo lava pagamentos de resgate através de redes em camadas usando carteiras intermediárias, exchanges de alto risco e plataformas sancionadas como Cryptex.net. A TRM Labs rastreou cerca de 13,5 milhões de dólares através de vários provedores de ativos virtuais em todo o mundo. Entre maio e agosto de 2024, pelo menos 17 depósitos superiores a 1 milhão de dólares foram movimentados através da Cryptex.net.
O grupo evita o uso intensivo de misturadores ou pontes entre cadeias, preferindo encaminhar fundos através de vários endereços antes de chegar às exchanges. Cerca de 18,8 milhões de dólares permanecem em carteiras dormentes, provavelmente para interromper o rastreio ou atrasar transferências por razões estratégicas.
Aumento nas Perdas de Cibercrime em Cripto
O surgimento do Embargo ocorre em meio ao aumento das perdas por crimes cibernéticos. Em julho de 2025, as perdas relacionadas a hacks aumentaram 27,2% para $142 milhões em 17 incidentes. A primeira metade de 2025 registrou mais de $2,2 bilhões em perdas de 344 casos. Outros ataques incluem uma violação de $44,2 milhões na exchange indiana CoinDCX ligada ao Lazarus Group e um exploit de $42 milhões na GMX que deixou uma recompensa de $5 milhões após a recuperação.