The Embargo勒索软件集团自2024年4月出现以来，已经窃取了3420万美元，针对医疗、商业服务和制造业的受害者，根据TRM Labs的研究。

大多数受害者位于美国，每起勒索事件的赎金要求高达130万美元。

网络犯罪集团袭击了主要目标，包括美国联合药房、佐治亚州的纪念医院和疗养院，以及爱达荷州的魏泽纪念医院。

TRM实验室识别出约1880万美元的受害者资金仍然处于未分配的钱包中。黑猫连接被怀疑

根据TRM Labs，Embargo 可能是已解散的 BlackCat (ALPHV) 勒索软件组的重新包装版本，基于技术上的相似性和共享的基础设施。

两个团队都使用Rust编程语言，并且几乎拥有相同的漏洞站点设计和功能。

链上分析显示，历史上与BlackCat相关的地址将加密货币转移到了与禁运受害者相关的钱包群中。

这种联系表明，Embargo的运营商可能继承了BlackCat的运营，或者在2024年其明显的退出骗局后从中演变而来。

Embargo 采用勒索软件即服务 (RaaS) 模式，在向附属机构提供工具的同时，保留核心运营和付款谈判的控制权。这种结构使 Embargo 能够在多个行业和地理区域快速扩展。禁止使用复杂的洗钱方法的勒索软件

该组织使用受制裁的平台，如Cryptex.net、高风险交易所和中介钱包来清洗被盗的加密货币。

在2024年5月至8月期间，TRM Labs监控到通过各种虚拟资产服务提供商进行的约1350万美元的存款，其中包括通过Cryptex.net转移的超过100万美元的存款。

避免过度依赖加密货币混币器，而是将交易分层到多个地址，然后直接将资金存入交易所。

该团体被观察到在有限的情况下使用Wasabi混音器，仅发现两个存款。

勒索软件运营商故意在洗钱过程的各个阶段存放资金，可能会扰乱追踪模式，或者等待有利条件，例如减少媒体关注或降低网络费用。

禁令特别针对医疗保健组织，通过运营中断来最大化影响力。

对医疗设施的袭击可能直接影响患者护理，并可能带来致命的后果，同时也会给医院施加尽快支付赎金的压力。

该组织采用双重敲诈的策略——在加密文件的同时窃取敏感数据。受害者如果拒绝付款，将面临数据泄露或暗网销售的威胁，这不仅加剧了财务损失，还带来了声誉和监管方面的后果。