Skupina kybernetických útočníků Embargo přiměla americké společnosti vyplatit přibližně 34,2 milionu dolarů v kryptoměnách. Funguje na základě modelu RaaS* a zaměřuje se především na útoky proti firmám ve zdravotnictví, podnikatelských službách a výrobě. Kromě finančního cíle útoků hackeři pravděpodobně sledují i politický, na což ukazuje jejich účast v odpovídajících incidentech.
* RaaS znamená Ransomware-as-a-Service –je to model kyberzločinu, kdy tvůrci škodlivého softwaru (ransomwaru) nabízejí svůj nástroj dalším útočníkům podobně jako legální softwarové firmy poskytují software formou služby.
Obsah článku:
Kdo jsou oběti a jaké jsou příjmy skupiny Embargo
Od dubna 2024 získala skupina kybernetických útočníků Embargo, která funguje podle modelu RaaS, přibližně 34,2 milionu dolarů v kryptoměnách od svých obětí.
Mezi nimi byly například American Associated Pharmacies, Memorial Hospital and Manor a Weiser Memorial Hospital. Některé částky výkupného dosahovaly až 1,3 milionu dolarů.
Analytici se domnívají, že Embargo může být rebrandingem nebo nástupcem známé skupiny BlackCat (ALPHV). Podezření vycházejí z technických shod: použití programovacího jazyka Rust, podobný design webu pro úniky dat a shodné adresy kryptopeněženek.
Skupina poskytuje nástroje přidruženým hackerům výměnou za podíl z výkupného, přičemž si ponechává kontrolu nad klíčovými operacemi – infrastrukturou a jednáním s oběťmi. Vyhýbá se agresivní publicitě typické pro jiné skupiny, což jí pomáhá zůstat déle mimo pozornost orgánů činných v trestním řízení.
Čtěte také: Trust Wallet recenze: Ovládněte své kryptoměny s důvěrou
Jak vypadá „útok“ v kostce – několik bodů, na které si dát pozor.
Hlavními cíli skupiny Embargo jsou společnosti v oblasti zdravotnictví, podnikatelských služeb a výroby, zejména v USA, kde jsou organizace obvykle schopné platit vyšší částky výkupného.
Hackeři se do sítí dostávají prostřednictvím neopravených zranitelností, phishingu nebo infikovaných webových stránek. Poté vypnou bezpečnostní systémy a odstraní záložní kopie, než zašifrují data.
Navíc skupina Embargo používá taktiku „dvojitého vydírání“ – data nejen šifruje, ale zároveň krade důvěrné informace, přičemž hrozí jejich zveřejněním nebo prodejem na darknetu. V některých případech útočníci dokonce zveřejňují jména konkrétních osob, aby zvýšili tlak.
Získané výkupné prochází přes zprostředkovatelské peněženky, rizikové burzy a dokonce i sankcionované platformy. Přibližně 18,8 milionu dolarů je momentálně „zmrazeno“ na neznámých adresách – pravděpodobně za účelem ztížení sledování.
Odborníci na kyberprostor se domnívají, že Embargo může využívat umělou inteligenci (AI) a strojové učení k rozšiřování útoků, vytváření realistických phishingových zpráv, automatické úpravě škodlivého softwaru a urychlení operací.
Stejné technologie však používají i firmy k obraně – od detekce netypické aktivity až po automatické blokování podezřelých procesů.
Jak ochránit firmu před ransomwarem Embargo
Ochrana organizace před sofistikovanými ransomwarovými skupinami, jako je Embargo, vyžaduje proaktivní a vícevrstvý přístup. Jedním z nejdůležitějších kroků je udržovat všechny systémy a software aktuální a bezpečnostní záplaty instalovat okamžitě po jejich vydání. Mnoho známých průniků nastává právě kvůli neopraveným zranitelnostem. Stejně zásadní je i posílení e-mailové bezpečnosti, protože phishing zůstává běžným vstupním bodem – využívejte pokročilé filtrační nástroje, sandboxování příloh a průběžně školte zaměstnance, aby rozpoznali škodlivé e-maily.
Dalším pilířem ochrany je řízení přístupu: zapněte vícefaktorové ověřování pro všechny účty, zejména administrátorské, a dodržujte princip minimálních oprávnění, aby se v případě kompromitace účtu omezily škody. Segmentace sítě, kdy jsou kritické systémy izolovány, může zabránit volnému šíření ransomwaru.
Nezbytné jsou také spolehlivé offline zálohy – ukládejte je v zabezpečeném, neměnitelném formátu a pravidelně testujte obnovu. Nakonec investujte do monitorovacích nástrojů, jako je Endpoint Detection & Response (EDR), které včas odhalí neobvyklou aktivitu. Tyto kroky doplňte promyšleným plánem reakce na incident, abyste minimalizovali narušení provozu a finanční ztráty v případě útoku.
Embargo představuje novou generaci vysoce účinných ransomwarových operací – technicky vyspělých, nenápadných a finančně velmi efektivních. Jejich neustále se vyvíjející sada nástrojů a tichá infrastruktura z nich činí obzvlášť nebezpečnou kybernetickou hrozbu pro celý svět.
Pokračujte zde: Bitcoin Halving: Podrobný průvodce klíčovou událostí
