Coinbase Cartel: вымогательство через украденные учетные данные

Coinbase Cartel — новая финансово мотивированная группировка, появившаяся в September 2025, — делает ставку не на классическое ransomware-шифрование, а на credential-based extortion. По данным отчета, злоумышленники действуют независимо, но при этом сохраняют связи с уже известными киберпреступными структурами, включая ShinyHunters, Scattered Spider и Lapsus$.

Модель атаки: от stolen credentials до exfiltration

Основой операций группировки стали скомпрометированные учетные данные, получаемые из logs стиллеров, таких как RedLine, Lumma и Vidar. Эти вредоносные инструменты собирают чувствительную информацию — сохраненные пароли, authentication tokens и другие данные, позволяющие злоумышленникам входить в корпоративные среды от имени легитимных пользователей.

Схема действий Coinbase Cartel, как следует из отчета, выстроена поэтапно:

• Initial access — покупка logs с valid credentials в dark web и через Telegram-каналы;
• Social engineering — использование vishing для убеждения сотрудников выдать permissions вредоносным OAuth applications;
• Reconnaissance — поиск ценных активов, включая Active Directory и VMware databases, в том числе через API-запросы к vCenter;
• Lateral movement — перемещение внутри инфраструктуры с использованием SSH и RDP;
• Data collection and exfiltration — массовый вывод данных через custom Python scripts, замаскированные под легитимные инструменты вроде Salesforce Data Loader.

Как злоумышленники скрывают кражу данных

Особенность тактики Coinbase Cartel заключается в том, что группа не использует encryption для эксфильтрованных данных. Вместо этого она делает ставку на чистое extortion: собирает чувствительную информацию, сжимает ее и передает через encrypted channels или cloud APIs, стараясь не попадать под стандартные detection mechanisms, характерные для традиционных утечек.

Такой подход, отмечается в отчете, отражает более широкую тенденцию в cybercrime, где все чаще используются сценарии without-file-encryption extortion. Аналогичные модели ранее наблюдались у BianLian, что заставляет компании готовиться не только к ransomware-атакам, но и к инцидентам, в которых шифрование файлов отсутствует вовсе.

Целевые отрасли и география атак

По имеющимся данным, Coinbase Cartel в первую очередь нацелена на ключевые отрасли, где концентрация ценных данных особенно высока:

• healthcare;
• technology;
• transportation.

Жертвы зафиксированы в North America, Europe, Middle East и Asia-Pacific. Это указывает на широкую операционную географию и устойчивый интерес к компаниям с распределенной инфраструктурой и большим числом удаленных точек доступа.

Что рекомендуют эксперты

Для противодействия подобным атакам организациям советуют сосредоточиться на базовой, но критически важной защите учетных данных и корпоративных сервисов. В отчете перечислены следующие меры:

• внедрение MFA;
• мониторинг учетных данных на предмет утечек;
• аудит permissions для OAuth applications;
• защита инфраструктуры, включая ESXi hosts;
• жесткий контроль всех точек remote access.

Отдельно подчеркивается, что значительная часть жертв уже ранее сталкивалась с утечками, связанными с infostealers. Это делает контроль credential exposure особенно важным: именно украденные данные часто становятся первым шагом к последующему вторжению.

Вывод: деятельность Coinbase Cartel показывает, что современные вымогатели все чаще отходят от привычной модели ransomware и переходят к более скрытным схемам, где главная ставка делается на stolen credentials, OAuth abuse и data exfiltration. Для бизнеса это означает необходимость защищаться не только от шифровальщиков, но и от атак, в которых украденные данные становятся главным оружием преступников.