Die relativ neue Ransomware-Gruppe Embargo hat sich in kurzer Zeit einen deutlichen Fußabdruck in der Cybercrime-Welt verschafft. Seit April 2024 hat die Gruppe laut dem Blockchain-Analyseunternehmen TRM Labs mehr als 34,2 Millionen USD an Lösegeld eingenommen. Besonders betroffen sind US-amerikanische Organisationen im Gesundheitswesen und in der verarbeitenden Industrie. Auffällig ist, dass etwa 18,8 Millionen USD dieser Zahlungen weiterhin unauffindbar sind, während ein Teil der Erträge über die sanktionierte Plattform Cryptex.net verschoben wurde.
Verbindungen zur berüchtigten BlackCat-Gruppe
Forscher vermuten, dass Embargo kein völlig neuer Akteur ist, sondern möglicherweise ein Neustart oder Rebranding der zuvor berüchtigten BlackCat (ALPHV) darstellt. Die Parallelen sind auffällig: Beide Gruppen nutzen die Programmiersprache Rust, ihre Leak-Websites ähneln sich stark und Blockchain-Analysen zeigen Überschneidungen in der Wallet-Infrastruktur. Dies deutet darauf hin, dass bestehende kriminelle Netzwerke unter neuem Namen weitergeführt werden – vermutlich, um nach Polizeiaktionen gegen BlackCat unter dem Radar zu bleiben.
Raffinierte Taktiken und doppelte Erpressung
Embargo operiert nach dem Ransomware-as-a-Service-Modell, bei dem Affiliates die Angriffe ausführen, während die Gruppe selbst die Infrastruktur und die Verhandlungen übernimmt. Opfer sehen sich einer doppelten Erpressung gegenüber: Dateien werden verschlüsselt und gleichzeitig sensible Daten gestohlen. Zahlt eine Organisation nicht, erscheint sie auf Embargos Leak-Website oder die Informationen werden im Darknet verkauft. Besonders Krankenhäuser sind anfällig, da Angriffe unmittelbare Auswirkungen auf die Patientenversorgung haben und somit den Druck zur Zahlung massiv erhöhen.
Geldwäsche und ruhende Gelder
Im Gegensatz zu einigen Mitbewerbern nutzt Embargo nur selten Mixer oder Cross-Chain-Bridges. Die Gelder werden meist über mehrere Zwischenwallets zu risikoreichen Börsen und in einigen Fällen zu sanktionierten Plattformen wie Cryptex.net transferiert. TRM Labs konnte bereits mehr als 13 Millionen USD zu weltweiten Börsen zurückverfolgen. Auffällig ist, dass 18,8 Millionen USD weiterhin ungenutzt in verschiedenen Wallets liegen. Dies scheint eine bewusste Strategie zu sein, um Ermittlungen zu erschweren oder auf günstigere Umstände zu warten – etwa niedrigere Netzwerkgebühren oder geringere mediale Aufmerksamkeit.
Künstliche Intelligenz als Waffe
Wie andere moderne Ransomware-Gruppen könnte auch Embargo KI und Machine Learning einsetzen, um Angriffe zu automatisieren – beispielsweise zur Erstellung überzeugenderer Phishing-E-Mails, zur Entwicklung sich anpassender Malware oder sogar für Deepfakes von Führungskräften, um Mitarbeiter zu täuschen. Dieser technologische Vorsprung erschwert es Unternehmen, Angriffe rechtzeitig zu erkennen. Organisationen in Risikosektoren wird daher geraten, ihre Sicherheit mit fortschrittlichen Erkennungssystemen und regelmäßigen Schulungen gegen Phishing-Angriffe zu verstärken, wie in den Empfehlungen zum Schutz vor Krypto-Betrugsmaschen dargelegt.