El grupo de ciberatacantes Embargo ha obligado a empresas estadounidenses a pagar aproximadamente 34,2 millones de dólares en criptomonedas. Funciona según el modelo RaaS* y se centra principalmente en ataques contra empresas del sector sanitario, de servicios empresariales y de fabricación. Además del objetivo financiero de los ataques, es probable que los hackers tengan también un objetivo político, como demuestra su participación en incidentes similares.
* RaaS significa Ransomware-as-a-Service: es un modelo de ciberdelincuencia en el que los creadores de software malicioso (ransomware) ofrecen su herramienta a otros atacantes, de forma similar a como las empresas de software legal proporcionan software como servicio.
Contenido del artículo:
Quiénes son las víctimas y cuáles son los ingresos del grupo Embargo
Desde abril de 2024, el grupo de ciberatacantes Embargo, que opera según el modelo RaaS, ha obtenido aproximadamente 34,2 millones de dólares en criptomonedas de sus víctimas.
Entre ellas se encuentran American Associated Pharmacies, Memorial Hospital and Manor y Weiser Memorial Hospital. Algunas cantidades de rescate alcanzaron hasta 1,3 millones de dólares.
Los analistas creen que Embargo podría ser un cambio de nombre o el sucesor del conocido grupo BlackCat (ALPHV). Las sospechas se basan en coincidencias técnicas: el uso del lenguaje de programación Rust, un diseño web similar para la filtración de datos y direcciones de monederos criptográficos idénticas.
El grupo proporciona herramientas a los hackers asociados a cambio de una parte del rescate, manteniendo el control de las operaciones clave: la infraestructura y las negociaciones con las víctimas. Evita la publicidad agresiva típica de otros grupos, lo que le ayuda a permanecer más tiempo fuera del punto de mira de las autoridades policiales.
No te lo pierdas: El bitcoin se encamina hacia los 122 000 dólares, pero el verano puede frenar su desarrollo
Cómo es un «ataque» en pocas palabras: varios puntos a tener en cuenta.
Los principales objetivos del grupo Embargo son empresas del sector sanitario, de servicios empresariales y de fabricación, especialmente en Estados Unidos, donde las organizaciones suelen poder pagar rescates más elevados.
Los hackers acceden a las redes a través de vulnerabilidades sin parchear, phishing o sitios web infectados. A continuación, desactivan los sistemas de seguridad y eliminan las copias de seguridad antes de cifrar los datos.
Además, el grupo Embargo utiliza la táctica del «doble chantaje»: no solo cifra los datos, sino que también roba información confidencial y amenaza con publicarla o venderla en la darknet. En algunos casos, los atacantes incluso publican los nombres de personas concretas para aumentar la presión.
El rescate obtenido pasa por carteras intermedias, bolsas de riesgo e incluso plataformas sancionadas. Aproximadamente 18,8 millones de dólares están actualmente «congelados» en direcciones desconocidas, probablemente con el fin de dificultar su rastreo.
Los expertos en ciberseguridad creen que Embargo puede utilizar inteligencia artificial (IA) y aprendizaje automático para ampliar sus ataques, crear mensajes de phishing realistas, modificar automáticamente el software malicioso y acelerar sus operaciones.
Sin embargo, las empresas también utilizan estas mismas tecnologías para defenderse, desde la detección de actividades atípicas hasta el bloqueo automático de procesos sospechosos.
Cómo proteger su empresa contra el ransomware Embargo
Proteger a su organización contra grupos de ransomware sofisticados como Embargo requiere un enfoque proactivo y multicapa. Uno de los pasos más importantes es mantener todos los sistemas y el software actualizados e instalar los parches de seguridad inmediatamente después de su publicación. Muchas intrusiones conocidas se producen precisamente debido a vulnerabilidades no corregidas. Igualmente importante es reforzar la seguridad del correo electrónico, ya que el phishing sigue siendo un punto de entrada habitual: utilice herramientas de filtrado avanzadas, sandboxing de archivos adjuntos y forme continuamente a sus empleados para que reconozcan los correos electrónicos maliciosos.
Otro pilar de la protección es el control de acceso: active la autenticación multifactorial para todas las cuentas, especialmente las de administrador, y siga el principio de privilegios mínimos para limitar los daños en caso de que se comprometa una cuenta. La segmentación de la red, en la que se aíslan los sistemas críticos, puede impedir la libre propagación del ransomware.
También son imprescindibles las copias de seguridad offline fiables: guárdelas en un formato seguro e inmutable y compruebe periódicamente que se pueden restaurar. Por último, invierta en herramientas de supervisión, como Endpoint Detection & Response (EDR), que detectan a tiempo cualquier actividad inusual. Complemente estas medidas con un plan de respuesta a incidentes bien pensado para minimizar las interrupciones del servicio y las pérdidas económicas en caso de ataque.
Embargo representa una nueva generación de operaciones de ransomware altamente eficaces: técnicamente avanzadas, discretas y muy rentables. Su conjunto de herramientas en constante evolución y su infraestructura silenciosa las convierten en una amenaza cibernética especialmente peligrosa para todo el mundo.
Continúa aquí: BITmarkets.com
