Coinbase Cartel: группа вымогателей без единой уязвимости захватывает сети через украденные пароли

Coinbase Cartel - это финансируемая преступная группа, специализирующаяся на хищении данных и вымогательстве. По оценкам экспертов, в её состав входят бывшие участники таких известных групп, как ShinyHunters, Scattered Spider и Lapsus$. Все эти группировки ранее прославились атаками на облачные сервисы, использованием методов социальной инженерии и крупномасштабными утечками данных. Метод работы Coinbase Cartel предельно прост: получить валидные учётные данные, проникнуть в целевую сеть, изъять конфиденциальную информацию и потребовать выкуп, угрожая обнародовать её. Основным инструментом принуждения служит собственный сайт утечек. После первоначального контакта жертве даётся 48 часов на ответ через специальный чат, а затем 10-дневный срок для оплаты в биткоинах или переговоров. Если деньги не поступают, данные публикуются.

Исследователи из компании Hudson Rock, перепроверив данные трекера ransomware.live, обнаружили, что по состоянию на апрель 2026 года группа заявила о 164 жертвах. Примерно 80% этих организаций ранее имели на своих устройствах активность инфостилеров - вредоносных программ, ворующих пароли и сессионные токены. Примечательно, что Coinbase Cartel не пользуется моделью "программа-вымогатель как услуга" - она действует самостоятельно и набирает киберпреступников напрямую.

Цепочка атак группы заслуживает особого внимания, поскольку каждый следующий шаг строится на предыдущем с использованием инструментов, которые по отдельности выглядят абсолютно легитимными. Никаких уязвимостей нулевого дня, никакого собственного вредоносного кода, никаких фишинговых рассылок сотрудникам. Всё начинается с доступа по скомпрометированным учётным данным. Основной вектор - это логи инфостилеров, таких как RedLine, Lumma и Vidar. Эти программы собирают сохранённые пароли, токены аутентификации и данные сессий с заражённых устройств, после чего загружают их на управляемую злоумышленниками инфраструктуру. Логи затем продаются через даркнет-маркеты и Telegram-каналы. Критически важно, что многие из этих учётных данных были украдены за несколько лет до атаки и уже давно числились в базах угроз. Помимо пассивного использования старых паролей, Coinbase Cartel привлекает и подкупает сторонних подрядчиков, имеющих доступ к целевым средам, а также применяет вишинг - голосовые звонки, при которых сотрудников убеждают одобрить авторизацию вредоносных OAuth-приложений. Это даёт злоумышленникам постоянный доступ к облачным сервисам.

После проникновения группа закрепляется в сети. В облачных и SaaS-средах для этого используются долгоживущие OAuth-токены и вредоносные приложения, которые продолжают работать даже после смены паролей. На локальных серверах добавляются SSH-ключи и скрытые учётные записи, обеспечивающие доступ после ротации паролей. Затем начинается разведка и боковое перемещение. Целью становятся наиболее ценные активы: хранилища виртуальных машин VMware, базы Active Directory, файловые ресурсы. В облачной инфраструктуре для картографирования виртуальной среды используются запросы к API vCenter. Перемещение между системами выполняется через SSH с root-доступом на гипервизорах ESXi, а в средах Windows - через RDP и PsExec.

Перед предъявлением требования о выкупе злоумышленники собирают и подготавливают к выгрузке наиболее ценные данные: финансовые записи, клиентские базы, внутреннюю переписку, данные аутентификации. В облачных средах применяются специальные Python-скрипты, имитирующие работу легитимного инструмента Salesforce Data Loader. Это позволяет массово выгружать CRM-данные, не вызывая подозрений. Информация сжимается в крупные архивы и передаётся через облачные API, зашифрованные каналы или сторонние хранилища. Сам процесс вымогательства основан исключительно на угрозе публикации - файлы не шифруются. Давление оказывается на репутацию и юридические последствия утечки, а не на невозможность работать с данными.

Среди отраслей-мишеней лидируют здравоохранение, технологии и транспорт - на них приходится более половины атак. В декабре 2025 года группа заявила о взломе десяти крупных девелоперских компаний в Объединённых Арабских Эмиратах. География жертв охватывает Северную Америку, Европу, Ближний Восток и Азиатско-Тихоокеанский регион. Правда, не все заявления подтверждаются: японская IT-корпорация NTT Data, оказавшаяся в списке, официально опровергла факт утечки, сославшись на продолжающийся мониторинг. Сайты утечек служат не только для вымогательства, но и для создания видимости активности, поэтому к их данным стоит относиться с осторожностью до завершения независимой экспертизы.

Успех Coinbase Cartel объясняется не столько собственной изощрённостью, сколько существующей экосистемой инфостилеров. RedLine, Vidar и Lumma Stealer распространяются через вредоносную рекламу, троянизированное ПО и фишинговые кампании. Попав на устройство, они тихо собирают данные и отправляют их злоумышленникам. Логи сортируются, упаковываются и продаются. Злоумышленнику не нужно запускать собственный фишинг или разрабатывать вредоносное ПО - достаточно купить готовый доступ. Это означает, что поверхность атаки для каждой организации включает устройства сотрудников, домашние сети и личные аккаунты, где могли быть повторно использованы рабочие пароли.

Такая ситуация заставляет пересмотреть подходы к безопасности. Как отмечает эксперт по расследованию инцидентов Амр Фати из компании Proven Data, многофакторная аутентификация не может оставаться добровольной опцией. Система должна принудительно требовать MFA, а не просто предлагать её. Мониторинг утечек учётных данных и проверка появления корпоративных аккаунтов в известных дампах инфостилеров становятся обязательными для любой службы информационной безопасности.

Coinbase Cartel представляет собой часть структурного сдвига в мире вымогательства. Шифрование файлов немедленно привлекает внимание жертвы и запускает реакцию на инцидент. Группы, отказывающиеся от шифрования, увеличивают время скрытого присутствия в сети, накапливают больше компрометирующего материала и лишают организацию возможности восстановить данные из резервных копий. Этот тренд уже заметен на примере таких группировок, как BianLian. Теперь компаниям придётся учитывать сценарий, при котором сигналом тревоги становится не шифрование, а сообщение от злоумышленника или уведомление стороннего исследователя.

Обнаружить Coinbase Cartel трудно - группа использует минимальную и непостоянную инфраструктуру: нет фиксированных IP-адресов, хешей файлов или доменов. Когда атакующий применяет легитимные учётные данные, сигнатурные методы детекции становятся бесполезны. Наиболее эффективна поведенческая аналитика: аномальные логины из географически неподходящих регионов, учётные записи, появляющиеся в базах инфостилеров, пробелы в журналах аутентификации, доступ к конфиденциальным репозиториям в нерабочее время, а также необычная активность по экспорту данных через API или облачные хранилища. Организации, полагающиеся только на сигнатуры, рискуют пропустить ранние стадии такой атаки.

Domains

• affiliateshinysp1d3r.com

Onion Domains

• fjg4zi4opkxkvdz7mvwp7h6goe4tcby3hhkrz43pht4j3vakhy75znyd.onion

Emails

• shinycorp@tuta.com
• shinygroup@tuta.com