Um grupo de ransomware relativamente novo, conhecido como Embargo, movimentou mais de US$ 34 milhões em pagamentos de resgate ligados a criptomoedas desde abril de 2024.
Segundo a empresa de inteligência em blockchain TRM Labs, o grupo opera sob o modelo de ransomware como serviço (RaaS) e tem como alvo principal hospitais e infraestrutura crítica nos Estados Unidos.
As exigências de resgate chegaram a até US$ 1,3 milhão por ataque. A investigação também sugere que o Embargo pode ser uma versão rebatizada da operação BlackCat (ALPHV), que desapareceu após um suposto golpe de saída no início deste ano
Operações do Embargo e alvos estratégicos
O grupo Embargo tem se destacado por sua atuação em setores onde o tempo de inatividade gera prejuízos imediatos.
Dessa forma, hospitais, redes farmacêuticas e serviços corporativos se tornaram alvos recorrentes.
Ataques a hospitais e redes críticas
Entre as vítimas confirmadas estão a American Associated Pharmacies, o Memorial Hospital and Manor, na Geórgia, e o Weiser Memorial Hospital, em Idaho.
Assim sendo, o grupo demonstra preferência por instituições norte-americanas, provavelmente devido à maior capacidade de pagamento.
Igualmente, os ataques envolvem táticas de dupla extorsão, com criptografia de sistemas e ameaça de vazamento de dados confidenciais.
Ligação com o grupo BlackCat
A TRM Labs identificou semelhanças técnicas entre o Embargo e o desaparecido BlackCat, como o uso da linguagem de programação Rust, sites de vazamento de dados semelhantes e infraestrutura de carteiras compartilhadas. Inclusive, há conexões on-chain que indicam movimentações entre carteiras associadas aos dois grupos.
Estratégias de ocultação e movimentação de fundos
A movimentação financeira do Embargo revela um padrão sofisticado de lavagem e ocultação de ativos digitais.
Táticas de evasão e carteiras intermediárias
- O grupo mantém cerca de US$ 18,8 milhões em criptomoedas inativas, distribuídas em carteiras não vinculadas.
- Especialistas acreditam que essa estratégia visa atrasar a detecção ou aguardar melhores condições de lavagem.
- Entre maio e agosto, a TRM Labs rastreou pelo menos US$ 13,5 milhões passando por provedores de serviços de ativos virtuais.
- Mais de US$ 1 milhão foi movimentado apenas pela plataforma sancionada Cryptex.net.
Uso de exchanges de alto risco
Além disso, o Embargo utiliza uma rede de carteiras intermediárias e exchanges com baixa transparência para dificultar o rastreamento. Sendo assim, a origem dos fundos se torna cada vez mais difícil de identificar, o que amplia a complexidade das investigações.
Implicações e medidas regulatórias
As ações do Embargo reacendem o debate sobre regulamentação e resposta institucional a ataques cibernéticos.
Reino Unido propõe proibição de pagamentos
O Reino Unido está se preparando para proibir pagamentos de ransomware por órgãos públicos e operadores de infraestrutura crítica. Dessa forma, o plano inclui um sistema de relatórios obrigatório, com exigência de notificação ao governo em até 72 horas após o ataque e um relatório detalhado em até 28 dias.
Riscos crescentes e resposta global
Em resumo, o crescimento de grupos como o Embargo mostra que o ransomware continua evoluindo em sofisticação e impacto.
Por fim, especialistas alertam que a resposta global precisa ser coordenada, envolvendo medidas técnicas, legais e diplomáticas para conter o avanço dessas operações.


