TokyoBlackHatNews

gbhackers.com 5分で読了

Coinbase Cartelがデータ窃取優先戦術にシフト、高価値産業を標的に

Coinbase Cartelと名乗るランサムウェア脅威アクターが急速に注目を集めているが、それはファイルを暗号化するからではなく、多くの場合暗号化しないからである。

2025年9月に初めて確認されたこのグループは、その1か月間だけで14件の被害者を主張し、その後Bitdefenderの2025年9月と12月のランサムウェアグループトップ10にランクインした。

Coinbase Cartelは、Bitdefenderなどが追跡しているより広範な変化に適合している:データ流出優先型の恐喝である。

これらの攻撃では、犯罪者が機密データを盗み、被害者が支払わない限り公開すると脅迫する。

暗号化をスキップすることで、作戦はより静かで迅速になり、同時に強力な影響力を生み出す:「データを非公開に保つために支払うか、さもなくば漏洩させる」。この手法は、迅速なインシデント対応を引き起こすことが多い明白な混乱も軽減する。

Image
月別Coinbase cartelの被害者数(出典:Bitdefender)。

最初の数か月間だけで、Coinbase Cartelは60件以上の被害者を記録し、急速な立ち上がりとスピードと圧力への明確な焦点を示している。

被害者の特性は、より高い利益率とより大きな貸借対照表を持つ組織を指し示している。このグループは、「数百万ドルの収益」層から数千億ドル規模の大企業まで、幅広い企業を標的としている。

ヘルスケア、テクノロジー、輸送が、これまでのところ被害者の最大のシェアを占めている。これらを合わせると、Coinbase Cartelの2025年の被害者主張の50%以上を占めており、ダウンタイム、信頼、規制上のリスクが支払いの可能性を高めるセクターを好むことを示唆している。

新しいデータ優先恐喝モデル

1つの異常なパターンが際立っている:影響を受けた多くのヘルスケア組織は、アラブ首長国連邦に拠点を置いていたと報告されており、1か月間に10件のヘルスケア被害者のクラスターが含まれている。

PEARは暗号化ツールの使用を避け、Coinbase Cartelと同様に、身代金要求を促進するためにデータ窃取に焦点を当てている。そして、PEARは2025年後半の6か月間で45件以上の被害者を主張した。

Image
月別Coinbase Cartel対PEARランサムウェア被害者数(出典:Bitdefender)。

ヘルスケアデータには、個人識別可能情報と保護された健康情報が含まれる可能性があり、これらは個人情報詐欺を可能にし、深刻な評判の損害を引き起こす可能性がある。

それでも、そのレベルの地理的集中は、動機が純粋に金銭的なものなのか、地政学的影響を受けているのかという疑問を提起する。

初期アクセスについて、Coinbase Cartelは、馴染みのある経路であるソーシャルエンジニアリング、初期アクセスブローカーからの支援、および盗まれたまたは露出した認証情報を使用する。

内部に侵入すると、オペレーターは管理者レベルの制御を取得し、システム全体の設定を変更し、ログを改ざんして検出を減らすことを目指す。

目標は、価値のあるデータを効率的に特定して流出させることである。例:侵害された1つの管理者アカウントにより、攻撃者は数時間でHRファイル、顧客記録、契約書を外部ストレージにコピーし、チームがパターンに気付く前に退出できる。

流出後、グループはデータリークサイトに被害者の名前を投稿し、交渉を開始する。被害者は指定されたチャットインターフェースを通じて48時間以内に応答するよう指示され、その後、支払いまたは要求の変更を求めるために最大10日間の猶予がある。支払いはビットコインで要求される。

Image
Coinbase Cartelデータリークサイトのオークションページ(出典:Bitdefender)。

リークサイトには、HOME、AUCTIONS(明らかに計画されているがまだ入力されていない)、PARTNERSHIPS、CONTACTSなどのページが含まれており、盗まれたデータを収益化するために構築されたエコシステムである。

緩和策

Coinbase Cartelはまた、典型的なランサムウェア・アズ・ア・サービスモデルを運用していないと主張している一方で、依然として募集と協力を行っている。

さらに、Coinbase CartelとPEARの両方によって影響を受けた業界を見ると、Coinbase Cartelの侵害は、より幅広い業界(PEARの13に対して合計17)に影響を与えている。

Image
業界別に分類されたCoinbase CartelおよびPEARランサムウェアの標的被害者(出典:Bitdefender)。

あるアンダーグラウンドの投稿で、グループはゼロデイエクスプロイトを含むエクスプロイト開発サービスを求め、200万ドルを超える予算を挙げた。

一部の研究者はShinyHuntersとの関連の可能性を仮説立てているが、決定的なリンクは検証されていない。

自らを「カルテル」とブランド化しているにもかかわらず、歴史的な「ランサムウェアカルテル」が行ってきたような方法で他のグループに対する持続的な支配を行使しているという明確な証拠はない。

防御側は、脅威が露出である場合、バックアップだけでは不十分であることを思い起こさせるものとして、これを扱うべきである。

MFA(特に管理者アカウント用)、厳格な最小特権、迅速なパッチ適用、テスト済みバックアップ、データインベントリとアクセス監査、脅威インテリジェンス、およびMDRに加えて、環境寄生型の行動を早期に捕捉するための攻撃対象領域の削減を優先すべきである。

翻訳元: https://gbhackers.com/coinbase-cartel-shifts-to-data-theft/

ソース: gbhackers.com
#Coinbase Cartel #インシデント対応 #サイバー脅迫 #データ流出 #データ窃盗 #テクノロジー企業 #ランサムウェア #医療機関 #身代金型マルウェア #身代金要求

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚