كشفت شركة TRM Labs المتخصصة في تحليلات البلوك تشين أن عصابة الفدية Embargo حققت عائدات تقدَّر بنحو 34.2 مليون دولار منذ ظهورها في أبريل 2024. وأوضحت الشركة أنها تتبعت مدفوعات العملات المشفرة من عناوين الضحايا إلى وجهات متعددة يُعتقد ارتباطها بالمجموعة، شملت مئات الإيداعات بقيمة 13.5 مليون دولار عبر عدد من مزودي خدمات الأصول الافتراضية حول العالم، إضافة إلى غسل أموال أخرى عبر محافظ وسيطة وبورصات عالية المخاطر ومنصات خاضعة للعقوبات مثل Cryptex.net. وما يزال نحو 18.8 مليون دولار من الأموال في عناوين لم يتم تحديدها. ويرجح الباحثون أن توزيع هذه العائدات بهذا الشكل يهدف إلى التهرب من الرصد الأمني، عبر تعطيل أنماط السلوك أو تأخير حركة الأموال حتى تتغير الظروف الخارجية مثل التغطية الإعلامية أو رسوم الشبكات أو السيولة.
ورصد التقرير أيضاً تدفقات مالية من عناوين مرتبطة تاريخياً بعصابة BlackCat، التي توقفت عن العمل بعد عملية نصب انسحابية في مارس 2024، إلى محافظ مرتبطة بضحايا Embargo، مما يعزز فرضية أن المجموعة قد تكون إعادة تجسيد لـBlackCat.
اعتماد قدرات تقنية متطورة في هجمات العصابة
أفاد التقرير الصادر في 8 أغسطس أن Embargo ربما تستخدم تقنيات الذكاء الاصطناعي وتعلم الآلة لتوسيع نطاق الهجمات، وصياغة رسائل تصيد أكثر إقناعاً، وتطوير البرمجيات الخبيثة، وتسريع العمليات. وتعمل المجموعة وفق نموذج «الفدية كخدمة» الذي يتيح للوكلاء تنفيذ الهجمات باستخدام أدواتها مقابل حصة من الأرباح، بينما تحتفظ بالتحكم في البنية التحتية والتفاوض على المدفوعات.
تحصل العصابة على الوصول الأولي إما عبر استغلال ثغرات برمجية غير مرقعة أو من خلال الهندسة الاجتماعية، بما في ذلك رسائل التصيد والتنزيلات الخفية عبر مواقع خبيثة. وبمجرد التسلل، تركّز على تجاوز الدفاعات وتعظيم الأثر، مستخدمة أدوات لتعطيل أنظمة الحماية وإزالة خيارات الاستعادة قبل تشفير الملفات. ويجري توجيه الضحايا لاحقاً للتواصل عبر بنية تحت سيطرة Embargo لضمان التحكم في مسار المفاوضات وتقليل التعرض.
تستخدم العصابة أسلوب الابتزاز المزدوج، مهددة بنشر أو بيع البيانات المسروقة إذا لم يتم دفع الفدية. وتدير موقعاً لتسريب البيانات يدرج أسماء المؤسسات، وأحياناً أسماء المديرين التنفيذيين، ممن يرفضون الدفع. كما تتجنب العصابة الممارسات الدعائية الصاخبة التي تتبعها مجموعات بارزة مثل LockBit وAkira، وهو ما يساعدها على تفادي رصد الجهات الأمنية وتقليل الضجة الإعلامية. وتستعين ببرمجيات مكتوبة بلغة Rust، ما يمنحها قدرة على العمل عبر منصات مختلفة مع تعزيز التعتيم، كما أن موقع تسريب بياناتها يشابه إلى حد كبير تصميم ووظائف موقع BlackCat.
احتمال وجود ارتباطات بدوافع سياسية
رغم أن الهدف الأساسي لـEmbargo مالي، فقد حملت بعض الهجمات رسائل سياسية وإشارات أيديولوجية، مما يثير احتمالات وجود ارتباطات بدول أو جهات ذات مصالح استراتيجية. ويرى الباحثون أن مثل هذا التداخل يعقّد عملية الإسناد، ويعكس توجهاً أوسع لاستغلال الجهات الإجرامية كأدوات لتحقيق أهداف استراتيجية أو مالية مع الحفاظ على هامش الإنكار.
تركّز العصابة على مؤسسات في الولايات المتحدة، خاصة في قطاعات الرعاية الصحية وخدمات الأعمال والتصنيع، نظراً لحساسيتها تجاه تعطيل العمليات. وقد وصلت بعض مطالبات الفدية إلى 1.3 مليون دولار.
