コンテンツにスキップするには Enter キーを押してください

Embargoランサムウェア集団、攻撃による収益が3,420万ドルに

投稿日 2025年8月11日

TRM Labsの新たな分析によると、Embargoランサムウェア集団は2024年4月の出現以来、攻撃による収益として約3,420万ドルを生み出しています。

ブロックチェーンインテリジェンスプラットフォームは、被害者のアドレスからランサムウェアグループに関連している可能性のあるさまざまな宛先への暗号通貨の支払いを追跡しました。

これには、世界中の複数の仮想資産サービスプロバイダーに分散された約1,350万ドル相当の数百件の入金が含まれていました。

その他の資金は、中間ウォレットやリスクの高い取引所、Cryptex.netのような制裁対象プラットフォームを通じてマネーロンダリングされています。

合計で、約1,880万ドルの被害者資金が未特定のアドレスに残っています。

研究者によると、身代金収益の広範な分散は、当局による検出を回避するための意図的な戦術である可能性が高いとされています。

これには、行動パターンの撹乱や、メディアの注目、ネットワーク手数料、流動性など外部条件がより好ましくなるまで資金の移動を遅らせることが含まれます。

TRM Labsはまた、現在は活動停止しているBlackCat集団に歴史的に関連付けられていた暗号通貨アドレスが、Embargoの被害者に関連するウォレットクラスターに資金を送っていることも観測しました。

このオンチェーンでの重複は、EmbargoがBlackCatのリブランド版である可能性を強化するものです。BlackCatは2024年3月に出口詐欺と思われる形で活動を停止しました。

Embargo、先進的な技術力を採用

8月8日に公開されたTRM Labsのレポートによると、Embargoは攻撃の規模拡大や、より説得力のあるフィッシング誘導、マルウェアの適応、オペレーションの加速のためにAIや機械学習(ML)を採用している可能性があります。

この評価は、ランサムウェア・アズ・ア・サービス(RaaS)アクターとしての技術力に基づいており、非常に高度で攻撃的なランサムウェアの展開を可能にしています。

Embargoは通常、未修正のソフトウェア脆弱性の悪用やソーシャルエンジニアリングによって初期アクセスを獲得します。後者には、フィッシングメールや悪意のあるウェブサイトを介したドライブバイダウンロードが含まれます。

ネットワーク内に侵入すると、グループは防御回避と影響の最大化に明確に注力します。セキュリティツールの無効化や復旧オプションの削除を行う2部構成のツールキットを展開し、その後ファイルを暗号化します。

暗号化後、被害者はEmbargoが管理するインフラを通じて連絡を取るよう指示されます。これにより、グループは交渉の主導権を維持し、露出を減らすことができます。

交渉では二重脅迫戦術を用い、被害者が支払いを拒否した場合には流出したデータの公開や販売を脅迫します。

Embargoは、支払いを拒否した組織や、時には個々の経営幹部の名前を掲載するデータリークサイトも運営しています。

また、EmbargoはLockBitやAkiraなど他の著名なランサムウェアグループのような派手なブランディングや高い可視性の戦術を避けています。

「この運用上の抑制が、Embargoが法執行機関の検出を回避し、メディアの注目を減らすのに役立った可能性が高い」とTRM Labsの研究者は指摘しています。

このグループのRaaSモデルは、アフィリエイトがツールを使って攻撃を実行し、その収益の一部を受け取ることを可能にしています。しかし、Embargoは技術インフラや支払い交渉などの中核的な運用の管理権を保持しています。

BlackCatと同様に、Embargoが展開するランサムウェアはRustプログラミング言語で作られており、クロスプラットフォームの互換性と高度な難読化を実現しています。

さらに、Embargoのデータリークサイトは、ビジュアルデザインや基本的な機能、コンテンツ構造の両面でBlackCatのものと非常によく似ていると研究者は指摘しています。

国家関与の可能性

Embargoは主に金銭的動機で活動していますが、いくつかの事件では政治的なメッセージやイデオロギー的な言及が見られ、国家関与の可能性が示唆されています。

「このような重複は帰属を複雑にし、金銭的動機のアクターが政治的テーマのキャンペーンに関与するというより広範な傾向を反映しています。さらに、国家アクターはほぼ確実にサイバー犯罪グループを代理人として利用し、戦略的または金銭的な目的を推進しつつ、もっともらしい否認性を維持しています」と研究者は記しています。

このグループは米国拠点の組織を不釣り合いに標的としており、特に医療、ビジネスサービス、製造業に重点を置いています。

これは、これらの分野における業務停止への感受性の高さが理由と考えられます。

グループによる身代金要求額は最大130万ドルに達していることが確認されています。

翻訳元: https://www.infosecurity-magazine.com/news/embargo-ransomware-amasses-attack/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です