Coinbase Cartel атакует цепочки поставок и RDP
Coinbase Cartel — новая киберпреступная группировка, которую исследователи классифицируют как ransomware-оператора. По данным отчета, она начала активную деятельность в сентябре 2025 года и уже заявила о более чем 140 жертвах в разных отраслях, уделяя особое внимание организациям в United States и France.
Как действует группировка
Авторы отчета указывают, что методика Coinbase Cartel, по-видимому, включает атаки на Supply Chain. На это косвенно указывает серия инцидентов, в ходе которых несколько компаний из сектора недвижимости UAE подверглись атакам в короткий промежуток времени.
Кроме того, имеются признаки сотрудничества группировки с IAB (Initial Access Brokers). Речь идет о покупке легитимного доступа к корпоративным сетям, который, вероятно, был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных infostealers.
Роль g77 и киберпреступных форумов
Ключевой фигурой, связанной с этой активностью, называют злоумышленника под псевдонимом g77. Он активно присутствует на киберпреступных форумах, где ищет партнеров для доступа к почтовым учетным записям и продвигает использование существующего malware и bruteforce-инструментов.
Подобная публичная активность, по мнению аналитиков, указывает на структурированный подход к расширению операционных возможностей группировки и к поиску дополнительных каналов для компрометации целей.
Ultimate RDP bruteforcer: инструмент массового подбора паролей
Одним из наиболее часто упоминаемых инструментов является Ultimate RDP bruteforcer. Эта утилита предназначена для быстрых атак bruteforce на службы RDP (Remote Desktop Protocol).
- позволяет одновременно атаковать несколько систем;
- обеспечивает высокую скорость попыток подбора паролей;
- может приводить к получению действительных учетных данных;
- полученные данные затем могут быть проданы или использованы для дальнейших атак.
Интерес злоумышленника к этому инструменту, как отмечается в отчете, может свидетельствовать о его применении в реальных операциях Coinbase Cartel для массового сбора учетных данных на множестве целей.
Признаки системного подхода
Группировка также связана с конкретным IP-адресом, который ранее фигурировал в других атаках. Это позволяет предположить, что ее активность строится не на разрозненных инцидентах, а на последовательном и системном использовании уязвимостей в конфигурациях удаленного доступа организаций, прежде всего служб RDP.
Сочетание постоянного присутствия на форумах киберпреступности и открытых призывов к сотрудничеству с другими злоумышленниками подтверждает, что Coinbase Cartel стремится масштабировать свои возможности за счет внешних партнеров и инфраструктуры, полученной через доступ-посредников.
Почему это важно
В целом деятельность Coinbase Cartel характеризуется сочетанием:
- оппортунистических атак на Supply Chain;
- сотрудничества с другими киберпреступниками;
- использования специализированных инструментов для массовой кражи учетных данных.
Эксперты предупреждают, что такие действия усиливают риски, связанные с ransomware и утечками данных, а также создают дополнительные угрозы для организаций в разных секторах. Хотя в отчете отмечается недавнее снижение заявленного числа жертв, потенциал для копирования этих методов другими группировками сохраняется и остается постоянной угрозой в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



