Een nieuwe speler in de wereld van cybercrime, de Embargo ransomwaregroep, heeft sinds april 2024 al meer dan $34 miljoen aan losgeldbetalingen in cryptocurrency verplaatst. De groep richt zich vooral op Amerikaanse ziekenhuizen en andere kritieke infrastructuur, blijkt uit onderzoek van blockchain-analysebedrijf TRM Labs.

Wat is ransomware-as-a-service?

Embargo werkt volgens het ransomware-as-a-service-model (RaaS). Hierbij ontwikkelt de groep ransomware en verhuurt die aan andere criminelen. Die voeren zelf de aanvallen uit en delen daarna de buit.

Onder de slachtoffers bevinden zich American Associated Pharmacies, Memorial Hospital and Manor (Georgia) en Weiser Memorial Hospital (Idaho). De losgeldeisen liepen op tot wel $1,3 miljoen.

Mogelijk voortzetting van BlackCat

TRM Labs ziet duidelijke gelijkenissen met BlackCat (ALPHV), een beruchte ransomwaregroep die begin 2024 plotseling verdween na een vermoedelijke exit scam. Beide groepen gebruiken de programmeertaal Rust, runnen vergelijkbare datalek-websites en delen waarschijnlijk dezelfde walletinfrastructuur.

Opvallend is dat $18,8 miljoen van de buit nog onaangeroerd in losse crypto-wallets staat. Volgens experts kan dat een strategie zijn om detectie te vermijden of te wachten op betere mogelijkheden om het geld wit te wassen.

Geldstromen verhuld via risicovolle exchanges

Om sporen te wissen, maakt Embargo gebruik van een netwerk van tussenwallets, hoog-risico exchanges en zelfs platforms die onder sancties vallen, zoals Cryptex.net. Alleen al tussen mei en augustus werd $13,5 miljoen gevolgd via diverse cryptodienstverleners, waarvan ruim $1 miljoen via Cryptex.

Dubbele afpersing als drukmiddel

Embargo past dubbele afpersing toe: systemen worden niet alleen versleuteld, maar de groep dreigt ook gevoelige data te publiceren als er niet wordt betaald. Soms worden zelfs namen van personen openbaar gemaakt om extra druk uit te oefenen.

De focus ligt op sectoren waar uitval direct veel geld kost, zoals zorg, zakelijke dienstverlening en productie. Vooral Amerikaanse bedrijven zijn doelwit, waarschijnlijk vanwege hun grotere budgetten en betalingsbereidheid.

Verenigd Koninkrijk wil verbod op losgeldbetalingen

In het Verenigd Koninkrijk wordt gewerkt aan een verbod op losgeldbetalingen door overheidsinstanties en vitale sectoren, zoals energie, zorg en lokale overheden. Bedrijven die buiten het verbod vallen maar toch willen betalen, krijgen te maken met een meldplicht: binnen 72 uur na een aanval een eerste rapport indienen en binnen 28 dagen een volledig verslag.

Volgens Chainalysis nam het aantal ransomware-aanvallen in 2023 met 35% af – de eerste daling in inkomsten sinds 2022.

Conclusie

De opkomst van Embargo laat zien hoe flexibel en veerkrachtig de ransomwarewereld is. Groepen verdwijnen, duiken opnieuw op onder een andere naam en gebruiken steeds slimmere technieken om hun geldsporen te verbergen. Voor bedrijven – zeker in de zorg en kritieke infrastructuur – is proactieve cybersecurity geen luxe, maar noodzaak.

FAQ

Wat is ransomware?
Ransomware is schadelijke software die bestanden versleutelt. Slachtoffers moeten betalen om weer toegang te krijgen tot hun gegevens.

Waarom gebruiken hackers Rust voor ransomware?
Rust is snel, efficiënt en moeilijk te analyseren, waardoor het lastiger wordt voor beveiligingsteams om de malware te ontmantelen.

Waarom richt Embargo zich vooral op de VS?
Omdat Amerikaanse organisaties vaak grotere budgetten hebben en daardoor eerder geneigd zijn te betalen, zeker in sectoren waar downtime direct veel geld kost.