Selon TRM Labs, Embargo est un acteur ransomware sophistiqué apparu en avril 2024 qui aurait récolté environ 34,2 M$ en paiements. Le groupe cible principalement les organisations de santé aux États-Unis, ainsi que les services aux entreprises et la manufacture, et pratique la double extorsion.
Sur le plan technique, Embargo opère en RaaS (ransomware-as-a-service) avec un malware en Rust doté de capacités avancées d’évasion. Les vecteurs d’accès initiaux incluent l’exploitation de vulnérabilités non corrigées et des attaques de social engineering. Le groupe utilise un outil en deux parties pour désactiver les solutions de sécurité avant l’encryption des fichiers.
L’analyse on-chain de TRM Labs montre un blanchiment via des portefeuilles intermédiaires, des VASPs et des plateformes sanctionnées comme Cryptex.net, avec des stratégies de stationnement de fonds; environ 18,8 M$ restent dormants dans des portefeuilles non attribués.
Des recoupements techniques suggèrent une continuité opérationnelle avec BlackCat (ALPHV): usage de Rust, mécanismes d’encryption similaires, design de site de fuite comparable, et infrastructures de portefeuilles qui se chevauchent. Ces éléments appuient l’hypothèse d’un rebranding.
IOC(s) connus:
- Plateforme utilisée pour le blanchiment: Cryptex.net (sanctionnée)
- Infrastructures de portefeuilles se recoupant avec BlackCat/ALPHV
TTPs principaux:
- Double extorsion (vol + chiffrement de données)
- Modèle RaaS
- Exploitation de vulnérabilités non corrigées
- Ingénierie sociale pour l’accès initial
- Désactivation d’outils de sécurité via un toolkit en deux phases
- Chiffrement des fichiers avec mécanismes proches de BlackCat
- Malware en Rust avec évasion avancée
- Blanchiment via portefeuilles intermédiaires, VASPs et plateformes à haut risque; parking de fonds
Type d’article: analyse de menace visant à documenter les TTPs, l’impact financier et les liens techniques/financiers d’Embargo.
🧠 TTPs et IOCs détectés
TTPs
Double extorsion, Modèle RaaS, Exploitation de vulnérabilités non corrigées, Ingénierie sociale pour l’accès initial, Désactivation d’outils de sécurité via un toolkit en deux phases, Chiffrement des fichiers avec mécanismes proches de BlackCat, Malware en Rust avec évasion avancée, Blanchiment via portefeuilles intermédiaires, VASPs et plateformes à haut risque, Parking de fonds
IOCs
Plateforme utilisée pour le blanchiment: Cryptex.net, Infrastructures de portefeuilles se recoupant avec BlackCat/ALPHV
🔗 Source originale : https://www.trmlabs.com/resources/blog/unmasking-embargo-ransomware-a-deep-dive-into-the-groups-ttps-and-blackcat-links