Skupina kybernetických útočníkov Embargo prinútila americké spoločnosti vyplatiť približne 34,2 milióna dolárov v kryptomenách. Funguje na základe modelu RaaS* a zameriava sa predovšetkým na útoky proti firmám v oblasti zdravotníctva, podnikateľských služieb a výroby. Okrem finančného cieľa útokov hackeri pravdepodobne sledujú aj politický cieľ, na čo poukazuje ich účasť na podobných incidentoch.
* RaaS znamená Ransomware-as-a-Service – ide o model kybernetického zločinu, pri ktorom tvorcovia škodlivého softvéru (ransomwaru) ponúkajú svoj nástroj ďalším útočníkom podobne ako legálne softvérové firmy poskytujú softvér vo forme služby.
Obsah článku:
Kto sú obete a aké sú príjmy skupiny Embargo
Od apríla 2024 získala skupina kybernetických útočníkov Embargo, ktorá funguje podľa modelu RaaS, približne 34,2 milióna dolárov v kryptomenách od svojich obetí.
Medzi nimi boli napríklad American Associated Pharmacies, Memorial Hospital and Manor a Weiser Memorial Hospital. Niektoré sumy výkupného dosiahli až 1,3 milióna dolárov.
Analytici sa domnievajú, že Embargo môže byť rebrandingom alebo nástupcom známej skupiny BlackCat (ALPHV). Podozrenia vychádzajú z technických zhod: použitie programovacieho jazyka Rust, podobný dizajn webovej stránky pre úniky dát a zhodné adresy kryptomenových peňaženiek.
Skupina poskytuje nástroje přidruženým hackerom výmenou za podiel z výkupného, pričom si ponecháva kontrolu nad kľúčovými operáciami – infraštruktúrou a rokovaním s obeťami. Vyhýba sa agresívnej publicite typickej pre iné skupiny, čo jej pomáha zostať dlhšie mimo pozornosti orgánov činných v trestnom konaní.
Mohlo by vás zaujímať: PancakeSwap – Recenzia platformy
Ako vyzerá „útok“ v skratke – niekoľko bodov, na ktoré si treba dávať pozor.
Hlavnými cieľmi skupiny Embargo sú spoločnosti v oblasti zdravotníctva, podnikateľských služieb a výroby, najmä v USA, kde sú organizácie zvyčajne schopné zaplatiť vyššie výkupné.
Hackeri sa do sietí dostávajú prostredníctvom neopravených zraniteľností, phishingu alebo infikovaných webových stránok. Potom vypnú bezpečnostné systémy a odstránia záložné kópie, než zašifrujú dáta.
Okrem toho skupina Embargo používa taktiku „dvojitého vydierania“ – dáta nielen šifruje, ale zároveň kradne dôverné informácie, pričom hrozí ich zverejnením alebo predajom na darknete. V niektorých prípadoch útočníci dokonca zverejňujú mená konkrétnych osôb, aby zvýšili tlak.
Získané výkupné prechádza cez sprostredkovateľské peňaženky, rizikové burzy a dokonca aj sankcionované platformy. Približne 18,8 milióna dolárov je momentálne „zmrazených“ na neznámych adresách – pravdepodobne s cieľom sťažiť sledovanie.
Odborníci na kyberpriestor sa domnievajú, že Embargo môže využívať umelú inteligenciu (AI) a strojové učenie na rozširovanie útokov, vytváranie realistických phishingových správ, automatické upravovanie škodlivého softvéru a urýchlenie operácií.
Rovnaké technológie však používajú aj firmy na obranu – od detekcie netypických aktivít až po automatické blokovanie podozrivých procesov.
Ako chrániť firmu pred ransomwarom Embargo
Ochrana organizácie pred sofistikovanými ransomwarovými skupinami, ako je Embargo, vyžaduje proaktívny a viacvrstvý prístup. Jedným z najdôležitejších krokov je udržiavať všetky systémy a softvér aktuálne a bezpečnostné záplaty inštalovať ihneď po ich vydaní. Mnoho známych prienikov vzniká práve kvôli neopraveným zraniteľnostiam. Rovnako dôležité je aj posilnenie e-mailovej bezpečnosti, pretože phishing zostáva bežným vstupným bodom – využívajte pokročilé filtračné nástroje, sandboxovanie príloh a priebežne školte zamestnancov, aby rozpoznali škodlivé e-maily.
Ďalším pilierom ochrany je riadenie prístupu: aktivujte viacfaktorové overovanie pre všetky účty, najmä administrátorské, a dodržiavajte princíp minimálnych oprávnení, aby sa v prípade kompromitácie účtu obmedzili škody. Segmentácia siete, pri ktorej sú kritické systémy izolované, môže zabrániť voľnému šíreniu ransomwaru.
Nezbytné sú tiež spoľahlivé offline zálohy – ukladajte ich v zabezpečenom, nemennom formáte a pravidelne testujte obnovenie. Nakoniec investujte do monitorovacích nástrojov, ako je Endpoint Detection & Response (EDR), ktoré včas odhalia neobvyklú aktivitu. Tieto kroky doplňte premysleným plánom reakcie na incident, aby ste minimalizovali narušenie prevádzky a finančné straty v prípade útoku.
Embargo predstavuje novú generáciu vysoko účinných ransomwarových operácií – technicky vyspelých, nenápadných a finančne veľmi efektívnych. Ich neustále sa vyvíjajúca sada nástrojov a tichá infraštruktúra z nich robia mimoriadne nebezpečnú kybernetickú hrozbu pre celý svet.
Pokračujte tu: BITmarkets.com
