Az Embargo nevű kiberbűnözői csoport amerikai vállalatokat arra kényszerített, hogy körülbelül 34,2 millió dollár értékű kriptovalutát fizessenek ki. A csoport a RaaS* modell alapján működik, és elsősorban az egészségügyi, üzleti szolgáltatások és gyártás területén működő vállalatokat támadja. A pénzügyi célok mellett a hackerek valószínűleg politikai célokat is követnek, amit a hasonló incidensekben való részvételük is alátámaszt.
* RaaS jelentése Ransomware-as-a-Service – ez egy olyan kiberbűnözési modell, amelyben a kártékony szoftverek (ransomware) készítői eszközüket más támadóknak kínálják, hasonlóan ahhoz, ahogy a legális szoftvercégek szoftvereket szolgáltatnak.
A cikk tartalma:
Kik az áldozatok és mekkora az Embargo csoport bevétele?
2024 áprilisa óta az Embargo nevű, RaaS-modell szerint működő kiberbűnözői csoport körülbelül 34,2 millió dollárt szerzett kriptovalutában áldozataitól.
Köztük volt például az American Associated Pharmacies, a Memorial Hospital and Manor és a Weiser Memorial Hospital. Néhány váltságdíj összege elérte az 1,3 millió dollárt.
Az elemzők úgy vélik, hogy az Embargo a jól ismert BlackCat (ALPHV) csoport átnevezése vagy utódja lehet. A gyanú technikai egyezésekre alapul: a Rust programozási nyelv használata, hasonló weboldal-tervezés az adatok kiszivárogtatásához és azonos kriptopénztárca-címek.
A csoport eszközöket biztosít a hozzá tartozó hackereknek a váltságdíj egy részéért cserébe, miközben megtartja az irányítást a kulcsfontosságú műveletek felett – az infrastruktúra és az áldozatokkal való tárgyalások felett. Kerüli az egyéb csoportokra jellemző agresszív nyilvánosságot, ami segít neki hosszabb ideig elkerülni a bűnüldöző szervek figyelmét.
Ne hagyja ki: A Bitcoin 122 000 dollár felé tart, de a nyár lelassíthatja a fejlődést
Hogyan néz ki egy „támadás” röviden – néhány pont, amire figyelni kell.
Az Embargo csoport fő célpontjai az egészségügyi, üzleti szolgáltatások és gyártási ágazatban működő vállalatok, különösen az Egyesült Államokban, ahol a szervezetek általában képesek magasabb váltságdíjat fizetni.
A hackerek javítatlan sebezhetőségeken, adathalászaton vagy fertőzött weboldalakon keresztül jutnak be a hálózatokba. Ezután kikapcsolják a biztonsági rendszereket és eltávolítják a biztonsági másolatokat, mielőtt titkosítják az adatokat.
Ezenkívül az Embargo csoport „kettős zsarolás” taktikát alkalmaz: nemcsak titkosítja az adatokat, hanem egyúttal bizalmas információkat is ellop, és azok nyilvánosságra hozatalával vagy a darkneten való eladásával fenyeget. Bizonyos esetekben a támadók még konkrét személyek nevét is nyilvánosságra hozzák, hogy növeljék a nyomást.
A zsarolási pénzt közvetítő pénztárcákon, kockázatos tőzsdéken és még szankcionált platformokon is átutalják. Jelenleg körülbelül 18,8 millió dollár van „befagyasztva” ismeretlen címeken – valószínűleg azért, hogy megnehezítsék a nyomon követést.
A kibertér szakértői úgy vélik, hogy az Embargo mesterséges intelligenciát (AI) és gépi tanulást használhat a támadások kiterjesztésére, valósághű adathalász üzenetek létrehozására, a kártékony szoftverek automatikus módosítására és a műveletek felgyorsítására.
Ugyanezeket a technológiákat azonban a cégek is használják védekezésre – a szokatlan tevékenységek észlelésétől a gyanús folyamatok automatikus blokkolásáig.
Hogyan védhetjük meg vállalatunkat az Embargo ransomware-től
A szervezetek védelme a kifinomult ransomware-csoportok, mint például az Embargo ellen proaktív és többrétegű megközelítést igényel. Az egyik legfontosabb lépés az összes rendszer és szoftver naprakészen tartása, valamint a biztonsági javítások azonnal történő telepítése azok megjelenése után. Sok ismert behatolás éppen a javítatlan sebezhetőségek miatt történik. Ugyanilyen fontos az e-mail biztonságának erősítése is, mivel a phishing továbbra is gyakori behatolási pont – használjon fejlett szűrőeszközöket, mellékletek sandboxolását, és folyamatosan képezze az alkalmazottakat a káros e-mailek felismerésére.
A védelem másik pillére a hozzáférés-vezérlés: kapcsolja be a többfaktoros hitelesítést minden fiókra, különösen az adminisztrátori fiókokra, és tartsa be a minimális jogosultságok elvét, hogy a fiók kompromittálása esetén a kár korlátozott maradjon. A hálózat szegmentálása, amelynek során a kritikus rendszereket elszigetelik, megakadályozhatja a ransomware szabad terjedését.
Szükségesek továbbá megbízható offline biztonsági mentések is – tárolja azokat biztonságos, megváltoztathatatlan formátumban, és rendszeresen tesztelje a helyreállítást. Végül fektessen be olyan felügyeleti eszközökbe, mint az Endpoint Detection & Response (EDR), amelyek időben észlelik a szokatlan tevékenységeket. Kiegészítse ezeket a lépéseket egy átgondolt incidensre reagáló tervvel, hogy minimalizálja a működés zavarait és a pénzügyi veszteségeket támadás esetén.
Az Embargo egy új generációs, rendkívül hatékony ransomware-művelet, amely technikailag fejlett, észrevehetetlen és pénzügyileg nagyon hatékony. Folyamatosan fejlődő eszköztára és csendes infrastruktúrája különösen veszélyes kiberfenyegetést jelent az egész világ számára.
Folytatás itt: BITmarkets.com
