Embargo勒索软件团伙获利3420万美元：TRM Labs

TRM实验室研究显示，自2024年4月出现以来，Embargo勒索软件团伙已窃取3420万美元，主要针对医疗保健、商业服务和制造业的受害者。

大部分受害者位于美国，单次攻击赎金要求高达130万美元。

该网络犯罪团伙已攻击包括美国联合药房、乔治亚州纪念医院及庄园、爱达荷州韦瑟纪念医院在内的主要目标。

TRM实验室发现约1880万美元受害者资金仍滞留在未归属钱包中。

TRM实验室指出，基于技术相似性和共享基础设施，Embargo可能是已解散的BlackCat（ALPHV）勒索组织的变体重现。

两个组织均使用Rust编程语言，并保持几乎完全相同的数据泄露网站设计与功能。

链上分析显示，历史上与BlackCat关联的地址曾将加密货币转移至Embargo受害者的钱包集群。

这种关联表明Embargo运营者可能继承了BlackCat业务，或在后者2024年退出骗局后演变而来。

Embargo采用勒索软件即服务（RaaS）模式，向附属机构提供工具，同时保留核心运营和支付谈判控制权。该结构能快速覆盖多行业和多地域。

该组织使用Cryptex.net等受制裁平台、高风险交易所及中间钱包清洗被盗加密货币。

2024年5月至8月期间，TRM实验室监测到通过各类虚拟资产服务提供商存入约1350万美元，其中超100万美元经Cryptex.net流转。

Embargo避免过度依赖加密货币混币器，而是在直接存入交易所前通过多地址分层交易。

仅发现两笔存款使用Wasabi混币器，该工具使用场景有限。

勒索运营者有意在洗钱流程各阶段暂停资金转移，可能是为了扰乱追踪模式，或等待媒体关注度降低、网络费用下降等有利条件。

Embargo专门针对医疗机构，通过运营中断最大化施压效果。

医疗攻击可能直接影响患者护理（存在致命风险），并迫使受害者快速支付赎金。

该组织采用双重勒索策略——加密文件同时窃取敏感数据。受害者若拒绝付款，将面临数据泄露或暗网销售的威胁，导致财务损失与声誉监管双重打击。