En un reciente informe de TRM Labs, una empresa de inteligencia de blockchain que colabora con agencias como el Buró Federal de Investigaciones (FBI, «por sus siglas en inglés») y el Servicio Interno de Rentas (IRS, «por sus siglas en inglés») para rastrear el flujo de fondos ilícitos a través de redes descentralizadas se identificó un grupo que serían la resurrección de BlackCat.
El informe o no se limita a documentar la aparición de un nuevo y peligroso grupo de ransomware llamado Embargo, sino que presenta un conjunto de pruebas técnicas, financieras y conductuales que apuntan a que Embargo es probablemente la nueva encarnación o sucesor directo del notorio grupo BlackCat (también conocido como ALPHV o Noberus), una de las “franquicias” de ransomware más prolíficas que supuestamente desapareció a principios de 2024.
El desmantelamiento de grupos criminales en diciembre de 2023 por parte de las fuerzas del orden, como la exitosa operación del FBI contra BlackCat, fue una victoria significativa, pero el ecosistema del ransomware no se detiene.
En lugar de ello, se reorganiza, se renueva y se fortalece con las lecciones aprendidas de sus fracasos y vuelve a la carga. Además el informe revela cómo estos grupos de ransomware, continúan exigiendo pagos con Bitcoin (BTC), lo que les permite realizar transacciones transfronterizas.
De hecho, el informe publicado el pasado viernes resalta que “Bitcoin es la criptomoneda más utilizada por los operadores de ransomware”; aunque también revela, que algunos grupos tienen preferencia por aceptar pagos en Monero (XMR) debido a sus características de privacidad y anonimato de alto nivel.
Embargo, surgido alrededor de abril de 2024, el grupo de ransomware-as-a-service (RaaS), se ha consolidado rápidamente como una amenaza significativa y bien financiada en el panorama del ciberdelito. No obstante, a pesar de ser una operación relativamente joven, su capacidad para generar ganancias ilícitas es notable.
El análisis de la cadena de bloques realizado por TRM Labs ha identificado aproximadamente 34.2 millones de dólares en volumen de transacciones entrantes con Bitcoin que están probablemente asociadas con el grupo.
Esta cifra, acumulada en menos de un año, subraya que Embargo no es una operación amateur, sino un actor con considerables recursos técnicos y una clara capacidad de ejecución. Aunque el grupo no ha alcanzado la misma escala de ataques públicos que gigantes como LockBit, Akira o Cl0p, su creciente huella financiera y la sofisticación de sus métodos lo convierten en un adversario formidable.
El grupo Embargo concentra sus ataques principalmente en los Estados Unidos, con una clara predilección por sectores de alto valor que manejan datos sensibles. Los sectores de servicios empresariales, manufactura y, de manera más prominente, el sector de la salud, han sido sus principales objetivos.
Esta focalización no es aleatoria; es una táctica calculada para maximizar la presión sobre las víctimas y asegurar el pago de los rescates, demostrando la devastadora efectividad de sus TTPs (tácticas, técnicas y procedimientos).
Los ciberdelincuentes saben que la interrupción de las operaciones en un hospital o en una cadena de farmacias no solo causa pérdidas financieras, sino que puede tener consecuencias que ponen en peligro la vida de los pacientes.
La combinación de datos altamente sensibles, como registros de salud protegidos (PHI), números de seguridad social y diagnósticos médicos, junto con la dependencia crítica de los sistemas digitales para la atención al paciente, crea una vulnerabilidad estratégica que es explotada para obtener el máximo apalancamiento.
En un ataque a American Associated Pharmacies (AAP, «por sus siglas en inglés»), el grupo aplicó una táctica de doble extorsión. Después de cifrar los sistemas, supuestamente se pagó un rescate inicial de 1.3 millones de dólares en Bitcoin para obtener la clave de descifrado.
Pero el grupo Embargo exigió posteriormente otro pago de 1.3 millones de dólares en BTC adicionales para evitar la filtración de 1.5 terabytes de datos sensibles robados. Este caso demuestra que el pago inicial de un rescate no siempre es el final de la crisis, ya que los atacantes pueden explotar a las víctimas repetidamente.
Otro incidente de alto perfil fue el ataque contra el Memorial Hospital and Manor en Georgia. El ciberataque interrumpió el sistema de registros de salud electrónicos (EHR), forzando al hospital a regresar a un sistema basado en papel y a sus empleados a manejar los registros manualmente, lo que provocó largos tiempos de espera para los pacientes.
Tras rechazar una oferta de negociación de 500.000 dólares, el grupo Embargo procedió a filtrar los datos de 120.085 personas, incluyendo información protegida de salud. Esto no solo causó una brecha de privacidad masiva, sino que también resaltó el alto costo operativo que estos ataques imponen a las infraestructuras críticas.
De manera similar, el Weiser Memorial Hospital en Idaho sufrió una brecha de seguridad que expuso la información de casi 60.000 pacientes, incluyendo nombres completos, números de seguridad social y datos de seguros de salud. La investigación reveló que un tercero no autorizado había accedido a la red del hospital y exfiltrado aproximadamente 200 GB de datos.
Una de las características más distintivas del modus operandi de Embargo es su modelo RaaS. A diferencia de algunos grupos que delegan completamente la operación a sus afiliados, Embargo mantiene un control férreo sobre sus operaciones centrales, incluyendo la infraestructura y las negociaciones de pago con las víctimas.
Este control centralizado les permite escalar rápidamente sus operaciones, mantener un alto grado de agresividad en sus ataques y, al mismo tiempo, evadir el escrutinio de las fuerzas del orden al evitar las tácticas de alta visibilidad, como las campañas de marca o el acoso a las víctimas, que grupos más notorios han utilizado en el pasado.
Esta estrategia de perfil bajo es una clara señal de una operación refinada, que busca la rentabilidad y la longevidad a largo plazo por encima de la notoriedad. El informe de TRM Labs expuso su relación con BlackCat, y esto no se basa en meras conjeturas, sino en un análisis forense de múltiples fuentes de datos para trazar una conexión directa entre Embargo y BlackCat.
Las evidencias se pueden agrupar en tres categorías principales: técnicas, financieras (on-chain) y conductuales. La convergencia de estas pruebas es lo que hace que la tesis de que Embargo es una nueva iteración de BlackCat sea tan convincente, debido a que un análisis forense de las transacciones, permitió identificar un “solapamiento on-chain” entre BlackCat y Embargo
La prueba más contundente es que se rastrearon fondos de direcciones de criptomonedas históricamente vinculadas a BlackCat que luego fueron canalizados a monederos asociados con víctimas de Embargo. Este movimiento de fondos no puede ser atribuido a la casualidad; es un rastro financiero directo que conecta a la operación anterior con la nueva.
Para ofuscar sus movimientos de fondos, Embargo utiliza tácticas de lavado de dinero que incluyen el uso de monederos intermediarios, intercambios de alto riesgo e incluso plataformas sancionadas como Cryptex.net.
El grupo también exhibe una táctica deliberada de dejar aproximadamente 18.8 millones de dólares en fondos “inactivos” en monederos no atribuidos. Este patrón de inactividad es una forma de evadir el rastreo conductual, interrumpiendo el flujo de transacciones o esperando condiciones más favorables, como una menor atención mediática o menores tarifas de red, antes de mover los activos.
El caso de Embargo no es un incidente aislado, sino un síntoma de tendencias más amplias que están redefiniendo el panorama del ransomware. El modelo de Ransomware-as-a-Service (RaaS) ha transformado fundamentalmente el ciberdelito al democratizar el acceso a herramientas de ataque sofisticadas.
Este modelo permite a desarrolladores de malware experimentados vender o “arrendar” sus kits a afiliados menos calificados, creando una red de “franquicias criminales” que opera en la dark web que cobran fondos en criptomonedas, que luego son enviadas a mezcladores para limpiar el historial de los fondos.