Según la firma de inteligencia blockchain TRM Labs, el grupo de ransomware Embargo ha transferido más de USD 34 millones en pagos de rescates vinculados a criptomonedas desde abril de 2024. Sus objetivos han sido infraestructuras críticas en Estados Unidos, incluyendo hospitales y redes farmacéuticas, con demandas de rescate que han alcanzado hasta USD 1.3 millones.
La investigación sugiere que Embargo podría ser una versión renombrada del legendario grupo BlackCat, que desapareció tras un presunto exit scam. Ambas agrupaciones comparten similitudes técnicas como el uso del lenguaje Rust, sitios web de filtración de datos casi idénticos y vínculos on-chain mediante infraestructura de billeteras compartida.
Tácticas y estrategia financiera
El grupo mantiene aproximadamente USD 18.8 millones en criptomonedas en billeteras inactivas, una estrategia que buscaría retardar su detección o aprovechar condiciones más favorables para el blanqueo en el futuro. Además, ha utilizado redes de billeteras intermediarias, exchanges de alto riesgo y plataformas sancionadas (como Cryptex.net) para oscurecer el origen de los fondos; entre mayo y agosto TRM rastreó al menos USD 13.5 millones en movimiento, más de USD 1 millón solo a través de Cryptex.
Presencia operativa
Embargo opera bajo un modelo de ransomware como servicio (RaaS), lo que le permite escalar rápidamente al contar con afiliados que ejecutan los ataques mientras los operadores controlan la infraestructura y las negociaciones. Esta táctica, sumada al uso de la doble extorsión —encriptar sistemas y amenazar con liberar datos— lo convierte en una amenaza altamente sofisticada dentro del panorama del cibercrimen.
