Le ransomware Embargo a blanchi 34,2 millions de dollars en crypto depuis avril 2024, touchant principalement des cibles du secteur de la santé aux États-Unis.
TRM Labs relie Embargo à BlackCat grâce à un code Rust partagé, un design de site de fuite similaire et des connexions de portefeuille.
Le groupe utilise des techniques de phishing par IA et des vulnérabilités non corrigées pour voler des données, chiffrer des fichiers et exiger des rançons pouvant atteindre 1,3 million de dollars.
Un groupe de ransomware-as-a-service appelé Embargo a blanchi environ 34,2 millions de dollars en cryptomonnaie depuis avril 2024. Il a principalement ciblé les établissements de santé américains par le biais d'attaques avancées exigeant des rançons allant jusqu'à 1,3 million de dollars.
La recherche de TRM Labs suggère que le groupe pourrait être un rebranding de l'opération BlackCat, désormais disparue. Les victimes connues incluent American Associated Pharmacies, Memorial Hospital et Manor en Géorgie, et Weiser Memorial Hospital en Idaho.
Des opérations sophistiquées évitent des tactiques de haut niveau
Embargo fonctionne selon un modèle de ransomware en tant que service, offrant aux affiliés des outils avancés tout en gardant le contrôle sur les systèmes essentiels et les discussions de paiement. Le groupe évite les tactiques de haut profil observées dans les campagnes LockBit ou Cl0p. Cette stratégie peut l'aider à échapper aux forces de l'ordre tout en s'étendant dans les secteurs de la santé, des services aux entreprises et de la fabrication.
L'analyse technique montre des similitudes avec BlackCat, y compris l'utilisation du langage de programmation Rust, des conceptions de sites de fuite de données similaires et une infrastructure de portefeuille partagée. Des fonds provenant d'adresses historiques de BlackCat ont été transférés vers des portefeuilles liés aux victimes d'Embargo.
Les attaques alimentées par l'IA ciblent les infrastructures critiques
Le groupe utilise l'intelligence artificielle et l'apprentissage automatique pour améliorer les attaques et éviter la détection. Il exploite souvent des vulnérabilités de logiciels non corrigées ou utilise des e-mails de phishing générés par l'IA pour obtenir un accès. Une fois à l'intérieur, Embargo déploie des outils qui désactivent les mesures de sécurité et suppriment les options de récupération avant de chiffrer les fichiers.
Il applique une double extorsion en chiffrant et en volant des données sensibles. Les victimes font face à des menaces de fuites publiques ou de ventes sur le dark web si les paiements ne sont pas effectués. Embargo gère toutes les communications via ses propres systèmes pour maintenir le contrôle des négociations. Certains incidents contiennent un contenu à thème politique, soulevant des inquiétudes quant à un possible alignement avec l'État.
Réseaux de blanchiment complexes impliquant des échanges mondiaux
L'embargo blanchit les paiements de rançon à travers des réseaux stratifiés utilisant des portefeuilles intermédiaires, des échanges à haut risque et des plateformes sanctionnées telles que Cryptex.net. TRM Labs a suivi environ 13,5 millions de dollars à travers plusieurs fournisseurs d'actifs virtuels dans le monde entier. Entre mai et août 2024, au moins 17 dépôts de plus de 1 million de dollars ont transité par Cryptex.net.
Le groupe évite l'utilisation intensive de mélangeurs ou de ponts inter-chaînes, préférant acheminer les fonds à travers plusieurs adresses avant d'atteindre les échanges. Environ 18,8 millions de dollars restent dans des portefeuilles dormants, susceptibles de perturber le traçage ou de retarder les transferts pour des raisons stratégiques.
Augmentation des pertes dues à la cybercriminalité dans le secteur des cryptomonnaies
L'émergence d'Embargo intervient alors que les pertes dues à la cybercriminalité augmentent. En juillet 2025, les pertes liées au piratage ont augmenté de 27,2 % pour atteindre 142 millions de dollars lors de 17 incidents. La première moitié de 2025 a enregistré plus de 2,2 milliards de dollars de pertes provenant de 344 cas. D'autres attaques incluent une violation de 44,2 millions de dollars de l'échange indien CoinDCX liée au groupe Lazarus et une exploitation de 42 millions de dollars de GMX qui a laissé une récompense de 5 millions de dollars après récupération.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le groupe de ransomware Embargo blanchit 34,2 millions de dollars en Crypto en ciblant les réseaux de santé américains
Le ransomware Embargo a blanchi 34,2 millions de dollars en crypto depuis avril 2024, touchant principalement des cibles du secteur de la santé aux États-Unis.
TRM Labs relie Embargo à BlackCat grâce à un code Rust partagé, un design de site de fuite similaire et des connexions de portefeuille.
Le groupe utilise des techniques de phishing par IA et des vulnérabilités non corrigées pour voler des données, chiffrer des fichiers et exiger des rançons pouvant atteindre 1,3 million de dollars.
Un groupe de ransomware-as-a-service appelé Embargo a blanchi environ 34,2 millions de dollars en cryptomonnaie depuis avril 2024. Il a principalement ciblé les établissements de santé américains par le biais d'attaques avancées exigeant des rançons allant jusqu'à 1,3 million de dollars.
La recherche de TRM Labs suggère que le groupe pourrait être un rebranding de l'opération BlackCat, désormais disparue. Les victimes connues incluent American Associated Pharmacies, Memorial Hospital et Manor en Géorgie, et Weiser Memorial Hospital en Idaho.
Des opérations sophistiquées évitent des tactiques de haut niveau
Embargo fonctionne selon un modèle de ransomware en tant que service, offrant aux affiliés des outils avancés tout en gardant le contrôle sur les systèmes essentiels et les discussions de paiement. Le groupe évite les tactiques de haut profil observées dans les campagnes LockBit ou Cl0p. Cette stratégie peut l'aider à échapper aux forces de l'ordre tout en s'étendant dans les secteurs de la santé, des services aux entreprises et de la fabrication.
L'analyse technique montre des similitudes avec BlackCat, y compris l'utilisation du langage de programmation Rust, des conceptions de sites de fuite de données similaires et une infrastructure de portefeuille partagée. Des fonds provenant d'adresses historiques de BlackCat ont été transférés vers des portefeuilles liés aux victimes d'Embargo.
Les attaques alimentées par l'IA ciblent les infrastructures critiques
Le groupe utilise l'intelligence artificielle et l'apprentissage automatique pour améliorer les attaques et éviter la détection. Il exploite souvent des vulnérabilités de logiciels non corrigées ou utilise des e-mails de phishing générés par l'IA pour obtenir un accès. Une fois à l'intérieur, Embargo déploie des outils qui désactivent les mesures de sécurité et suppriment les options de récupération avant de chiffrer les fichiers.
Il applique une double extorsion en chiffrant et en volant des données sensibles. Les victimes font face à des menaces de fuites publiques ou de ventes sur le dark web si les paiements ne sont pas effectués. Embargo gère toutes les communications via ses propres systèmes pour maintenir le contrôle des négociations. Certains incidents contiennent un contenu à thème politique, soulevant des inquiétudes quant à un possible alignement avec l'État.
Réseaux de blanchiment complexes impliquant des échanges mondiaux
L'embargo blanchit les paiements de rançon à travers des réseaux stratifiés utilisant des portefeuilles intermédiaires, des échanges à haut risque et des plateformes sanctionnées telles que Cryptex.net. TRM Labs a suivi environ 13,5 millions de dollars à travers plusieurs fournisseurs d'actifs virtuels dans le monde entier. Entre mai et août 2024, au moins 17 dépôts de plus de 1 million de dollars ont transité par Cryptex.net.
Le groupe évite l'utilisation intensive de mélangeurs ou de ponts inter-chaînes, préférant acheminer les fonds à travers plusieurs adresses avant d'atteindre les échanges. Environ 18,8 millions de dollars restent dans des portefeuilles dormants, susceptibles de perturber le traçage ou de retarder les transferts pour des raisons stratégiques.
Augmentation des pertes dues à la cybercriminalité dans le secteur des cryptomonnaies
L'émergence d'Embargo intervient alors que les pertes dues à la cybercriminalité augmentent. En juillet 2025, les pertes liées au piratage ont augmenté de 27,2 % pour atteindre 142 millions de dollars lors de 17 incidents. La première moitié de 2025 a enregistré plus de 2,2 milliards de dollars de pertes provenant de 344 cas. D'autres attaques incluent une violation de 44,2 millions de dollars de l'échange indien CoinDCX liée au groupe Lazarus et une exploitation de 42 millions de dollars de GMX qui a laissé une récompense de 5 millions de dollars après récupération.