Coinbase Cartel атакует цепочки поставок и RDP

Coinbase Cartel — новая киберпреступная группировка, которую исследователи классифицируют как ransomware-оператора. По данным отчета, она начала активную деятельность в сентябре 2025 года и уже заявила о более чем 140 жертвах в разных отраслях, уделяя особое внимание организациям в United States и France.

Как действует группировка

Авторы отчета указывают, что методика Coinbase Cartel, по-видимому, включает атаки на Supply Chain. На это косвенно указывает серия инцидентов, в ходе которых несколько компаний из сектора недвижимости UAE подверглись атакам в короткий промежуток времени.

Кроме того, имеются признаки сотрудничества группировки с IAB (Initial Access Brokers). Речь идет о покупке легитимного доступа к корпоративным сетям, который, вероятно, был получен через сторонние сервисы, а не путем прямого использования учетных данных, украденных infostealers.

Роль g77 и киберпреступных форумов

Ключевой фигурой, связанной с этой активностью, называют злоумышленника под псевдонимом g77. Он активно присутствует на киберпреступных форумах, где ищет партнеров для доступа к почтовым учетным записям и продвигает использование существующего malware и bruteforce-инструментов.

Подобная публичная активность, по мнению аналитиков, указывает на структурированный подход к расширению операционных возможностей группировки и к поиску дополнительных каналов для компрометации целей.

Ultimate RDP bruteforcer: инструмент массового подбора паролей

Одним из наиболее часто упоминаемых инструментов является Ultimate RDP bruteforcer. Эта утилита предназначена для быстрых атак bruteforce на службы RDP (Remote Desktop Protocol).

  • позволяет одновременно атаковать несколько систем;
  • обеспечивает высокую скорость попыток подбора паролей;
  • может приводить к получению действительных учетных данных;
  • полученные данные затем могут быть проданы или использованы для дальнейших атак.

Интерес злоумышленника к этому инструменту, как отмечается в отчете, может свидетельствовать о его применении в реальных операциях Coinbase Cartel для массового сбора учетных данных на множестве целей.

Признаки системного подхода

Группировка также связана с конкретным IP-адресом, который ранее фигурировал в других атаках. Это позволяет предположить, что ее активность строится не на разрозненных инцидентах, а на последовательном и системном использовании уязвимостей в конфигурациях удаленного доступа организаций, прежде всего служб RDP.

Сочетание постоянного присутствия на форумах киберпреступности и открытых призывов к сотрудничеству с другими злоумышленниками подтверждает, что Coinbase Cartel стремится масштабировать свои возможности за счет внешних партнеров и инфраструктуры, полученной через доступ-посредников.

Почему это важно

В целом деятельность Coinbase Cartel характеризуется сочетанием:

  • оппортунистических атак на Supply Chain;
  • сотрудничества с другими киберпреступниками;
  • использования специализированных инструментов для массовой кражи учетных данных.

Эксперты предупреждают, что такие действия усиливают риски, связанные с ransomware и утечками данных, а также создают дополнительные угрозы для организаций в разных секторах. Хотя в отчете отмечается недавнее снижение заявленного числа жертв, потенциал для копирования этих методов другими группировками сохраняется и остается постоянной угрозой в киберпространстве.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: