# Các hacker tống tiền Embargo liên kết với băng nhóm BlackCat "đã trốn thoát"
Nhóm tội phạm tống tiền Embargo đã trở thành một trong những người chơi ẩn danh quan trọng trong lĩnh vực RaaS. Kể từ tháng 4 năm 2024, các hacker đã nhận được tiền chuộc bằng cryptocurrency với tổng giá trị hơn $34 triệu, theo báo cáo của TRM Labs.
Theo dữ liệu từ các nhà nghiên cứu, nhóm này cung cấp cho tội phạm các công cụ để thực hiện các cuộc tấn công đổi lấy một phần doanh thu từ tiền chuộc. Trong khi đó, Embargo giữ quyền kiểm soát các hoạt động chính, bao gồm cả việc thao tác với cơ sở hạ tầng và thương lượng về thanh toán.
«Embargo sử dụng các chương trình ransomware công nghệ cao và hung hãn. Tuy nhiên, họ tránh việc định thương hiệu và không sử dụng các chiến thuật thu hút sự chú ý như các nhóm nổi tiếng khác như ransomware ba chiều và theo dõi nạn nhân. Sự kiềm chế như vậy có thể đã giúp họ tránh bị phát hiện bởi các cơ quan thực thi pháp luật và giảm sự chú ý từ phía truyền thông», — TRM Labs cho biết.
Mục tiêu của tội phạm mạng thường là các tổ chức trong lĩnh vực y tế, dịch vụ thương mại và sản xuất, nơi mà việc ngừng hoạt động tốn kém.
Trong số những nạn nhân nổi tiếng có hệ thống nhà thuốc American Associated Pharmacies, Bệnh viện và Nhà nghỉ Memorial ở Georgia và Bệnh viện Weiser Memorial ở Idaho. Tổng yêu cầu tiền chuộc đối với họ đã đạt 1,3 triệu đô la.
Thông thường, Embargo có được quyền truy cập ban đầu bằng cách sử dụng các lỗ hổng bảo mật không được bảo vệ trong phần mềm, kỹ thuật lừa đảo xã hội, cũng như email lừa đảo và trang web độc hại.
Liên hệ với BlackCat
Các nhà phân tích của TRM Labs cho rằng Embargo có thể là nhóm BlackCat đã đổi tên, nhóm này đã phát tán phần mềm mã hóa ALPHV.
Vào năm 2024, hacker đã tuyên bố đóng cửa dự án vì FBI được cho là đã tịch thu cơ sở hạ tầng của họ. Tuy nhiên, các cơ quan thực thi pháp luật không xác nhận thông tin này. Sau đó, đã xuất hiện tin đồn về khả năng xảy ra exit scam, và một trong những thành viên đã cáo buộc các thành viên trong đội ngũ đã đánh cắp $22 triệu từ các khoản tiền chuộc đã nhận.
Các nhà nghiên cứu đã phát hiện ra các khía cạnh kỹ thuật chung của các nhóm: họ sử dụng ngôn ngữ lập trình Rust, quản lý các trang web rò rỉ dữ liệu tương tự và thể hiện các mối liên kết on-chain thông qua các cụm ví.
Liên kết giữa ví Embargo và BlackCat. Nguồn: TRM Labs.Embargo sử dụng mạng lưới địa chỉ trung gian, sàn giao dịch có rủi ro cao và nền tảng bị trừng phạt, bao gồm Cryptex.net, để che giấu nguồn gốc của các quỹ. Trong khi đó, hacker không thường xuyên sử dụng các dịch vụ trộn tiền điện tử và cầu nối giữa các chuỗi.
Các nhà nghiên cứu đã phát hiện ra khoảng $18,8 triệu đô la thu nhập bất chính của băng nhóm, những người đã không hoạt động trong một thời gian dài. Có lẽ chiến thuật này giúp thu hút ít sự chú ý hơn đến hành động của họ.
Xin nhắc lại, vào tháng 7 năm 2025, một cựu nhân viên của công ty DigitalMint, công ty giúp đỡ các nạn nhân của phần mềm tống tiền, đã bị nghi ngờ có âm mưu với hacker.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tin tặc tống tiền Embargo được liên kết với nhóm BlackCat "đã trốn thoát".
Nhóm tội phạm tống tiền Embargo đã trở thành một trong những người chơi ẩn danh quan trọng trong lĩnh vực RaaS. Kể từ tháng 4 năm 2024, các hacker đã nhận được tiền chuộc bằng cryptocurrency với tổng giá trị hơn $34 triệu, theo báo cáo của TRM Labs.
Theo dữ liệu từ các nhà nghiên cứu, nhóm này cung cấp cho tội phạm các công cụ để thực hiện các cuộc tấn công đổi lấy một phần doanh thu từ tiền chuộc. Trong khi đó, Embargo giữ quyền kiểm soát các hoạt động chính, bao gồm cả việc thao tác với cơ sở hạ tầng và thương lượng về thanh toán.
Mục tiêu của tội phạm mạng thường là các tổ chức trong lĩnh vực y tế, dịch vụ thương mại và sản xuất, nơi mà việc ngừng hoạt động tốn kém.
Trong số những nạn nhân nổi tiếng có hệ thống nhà thuốc American Associated Pharmacies, Bệnh viện và Nhà nghỉ Memorial ở Georgia và Bệnh viện Weiser Memorial ở Idaho. Tổng yêu cầu tiền chuộc đối với họ đã đạt 1,3 triệu đô la.
Thông thường, Embargo có được quyền truy cập ban đầu bằng cách sử dụng các lỗ hổng bảo mật không được bảo vệ trong phần mềm, kỹ thuật lừa đảo xã hội, cũng như email lừa đảo và trang web độc hại.
Liên hệ với BlackCat
Các nhà phân tích của TRM Labs cho rằng Embargo có thể là nhóm BlackCat đã đổi tên, nhóm này đã phát tán phần mềm mã hóa ALPHV.
Vào năm 2024, hacker đã tuyên bố đóng cửa dự án vì FBI được cho là đã tịch thu cơ sở hạ tầng của họ. Tuy nhiên, các cơ quan thực thi pháp luật không xác nhận thông tin này. Sau đó, đã xuất hiện tin đồn về khả năng xảy ra exit scam, và một trong những thành viên đã cáo buộc các thành viên trong đội ngũ đã đánh cắp $22 triệu từ các khoản tiền chuộc đã nhận.
Các nhà nghiên cứu đã phát hiện ra các khía cạnh kỹ thuật chung của các nhóm: họ sử dụng ngôn ngữ lập trình Rust, quản lý các trang web rò rỉ dữ liệu tương tự và thể hiện các mối liên kết on-chain thông qua các cụm ví.
Các nhà nghiên cứu đã phát hiện ra khoảng $18,8 triệu đô la thu nhập bất chính của băng nhóm, những người đã không hoạt động trong một thời gian dài. Có lẽ chiến thuật này giúp thu hút ít sự chú ý hơn đến hành động của họ.
Xin nhắc lại, vào tháng 7 năm 2025, một cựu nhân viên của công ty DigitalMint, công ty giúp đỡ các nạn nhân của phần mềm tống tiền, đã bị nghi ngờ có âm mưu với hacker.