엠바르고(Embargo)로 알려진 비교적 신생 랜섬웨어 그룹이 사이버 범죄 지하 세계에서 핵심 세력으로 부상했으며, 2024년 4월 이후 암호화폐로 지급된 몸값 3,400만 달러 이상을 이동시켰다.
블록체인 인텔리전스 기업 TRM 랩스에 따르면, 엠바르고(Embargo)는 랜섬웨어 서비스(RaaS) 모델로 운영되며 미국 전역의 핵심 인프라를 공격했으며, 그 대상에는 병원과 제약 네트워크 등이 포함된다.
피해 기관에는 아메리칸 어소시에이티드 파머시스(American Associated Pharmacies), 조지아주에 위치한 메모리얼 병원 앤 매너(Memorial Hospital and Manor), 아이다호주의 와이저 메모리얼 병원(Weiser Memorial Hospital)이 포함된다. 몸값 요구액은 최대 130만 달러에 달한 것으로 전해졌다.
TRM의 조사에 따르면, 엠바르고(Embargo)는 올해 초 의심되는 ‘엑시트 스캠’ 이후 사라진 악명 높은 블랙캣(BlackCat, ALPHV) 작전을 리브랜딩한 버전일 가능성이 있다. 두 그룹은 러스트(Rust) 프로그래밍 언어 사용, 유사한 데이터 유출 사이트 운영, 그리고 지갑 인프라 공유를 통한 온체인 연결 등 기술적 공통점을 보인다.
관련 기사: 미국 법무부, Qakbot 악성코드 개발 혐의자에게서 암호화폐 2,400만 달러 압수
엠바르고(Embargo), 활동하지 않는 암호화폐 1,880만 달러 보유
엠바르고(Embargo)의 암호화폐 수익 중 약 1,880만 달러는 관련이 없는 지갑에 보관된 채 움직이지 않고 있으며, 전문가들은 이를 탐지를 지연시키거나 향후 더 유리한 자금 세탁 환경을 활용하기 위한 전략으로 보고 있다.
이 그룹은 중간 지갑, 고위험 거래소, 그리고 Cryptex.net을 포함한 제재 대상 플랫폼 등 여러 수단을 활용해 자금 출처를 감추고 있다. 5월부터 8월까지 TRM은 다양한 가상자산 서비스 제공업체를 통해 최소 1,350만 달러를 추적했으며, 그중 100만 달러 이상이 Cryptex를 경유한 것으로 나타났다.
락빗(LockBit)이나 클롭(Cl0p)처럼 눈에 띄게 공격적이지는 않지만, 엠바르고(Embargo)도 이중 갈취(double extortion) 방식을 채택해 시스템을 암호화하고, 피해자가 몸값을 지불하지 않을 경우 민감한 데이터를 유출하겠다고 협박한다. 일부 사례에서는 피해자의 이름을 공개하거나 자체 사이트에 데이터를 유출해 압박 수위를 높이기도 했다.
엠바르고(Embargo)는 주로 다운타임이 큰 비용을 초래하는 의료, 비즈니스 서비스, 제조업 분야를 공격하며, 미국 내 피해자를 선호하는 경향을 보인다. 이는 미국 피해자들이 상대적으로 높은 지불 능력을 갖추었기 때문으로 추정된다.
관련 기사: 코인베이스, 내부자 피싱 공격으로 4억 달러 손해 배상 청구 직면
영국, 공공 부문에 대한 랜섬웨어 몸값 지급 금지 추진
영국은 에너지, 의료, 지방 자치 단체를 포함한 모든 공공 부문 기관과 국가 핵심 인프라 운영자에 대해 랜섬웨어 몸값 지급을 금지할 예정이다. 이 제안은 금지 대상이 아닌 피해자들에게도 몸값 지급 계획을 신고하도록 요구하는 예방 조치를 도입한다.
이 계획에는 의무 신고 시스템도 포함되어 있으며, 피해자는 공격 발생 후 72시간 이내에 정부에 초기 보고서를 제출하고, 28일 이내에 상세한 후속 보고서를 제출해야 한다.
체이널리시스(Chainalysis)에 따르면, 지난해 랜섬웨어 공격이 35% 감소했다. 이 보고서는 2022년 이후 처음으로 랜섬웨어 수익이 줄어든 해였다고 밝혔다.