# Coinbase Cartel > [!warning] Resumo > Coletivo de extorsão por dados que opera sem criptografia, focando em exfiltração massiva para extorquir vítimas. Composto por ex-afiliados de ShinyHunters, Scattered Spider e Lapsus$, com alegação de 3TB exfiltrados da JBS Brasil. ## Visão Geral O **Coinbase Cartel** é um grupo de extorsão cibernética financeiramente motivado, observado pela primeira vez em **setembro de 2025**. Diferente de ransomware tradicional, o grupo opera primariamente **sem criptografia**, focando na exfiltração silenciosa e rápida de dados para extorsão. O grupo emergiu de ex-afiliados do [[shinyhunters|ShinyHunters]], [[g1015-scattered-spider]] e [[lapsus-group|Lapsus$]], trazendo expertise em engenharia social, phishing via voz (vishing) e abuso de plataformas OAuth/SSO. Em apenas seus primeiros meses, reivindicou **mais de 60 vítimas**, tornando-se um dos dez grupos mais ativos segundo a Bitdefender. O Coinbase Cartel se autoproclama como grupo que "redefine a extorsão de dados", priorizando exfiltração silenciosa sobre disrupção operacional. O grupo está desenvolvendo o encryptor **[[shinysp1d3r]]** para ESXi, sinalizando futura evolução para dupla extorsão. ```mermaid graph TB A["🎣 Engenharia Social<br/>Vishing + OAuth abuse<br/>Credenciais roubadas"] --> B["🔓 Acesso Inicial<br/>T1078 Valid Accounts<br/>T1199 Trusted Relationship"] B --> C["🔍 Reconhecimento<br/>T1213 Info Repositories<br/>Mapeamento de dados"] C --> D["📤 Exfiltração Silenciosa<br/>T1567 Web Service<br/>Tor/VPN criptografado"] D --> E["🌐 Site de Leak<br/>Dark web publishing<br/>Pressão por pagamento"] E --> F["💰 Extorsão Dupla<br/>Bitcoin em 10 dias<br/>Ameaça de divulgação"] classDef social fill:#c0392b,color:#fff,stroke:#922b21 classDef access fill:#1a5276,color:#fff,stroke:#154360 classDef recon fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#27ae60,color:#fff,stroke:#1e8449 classDef leak fill:#b7950b,color:#fff,stroke:#9a7d0a classDef extort fill:#7b241c,color:#fff,stroke:#641e16 class A social class B access class C recon class D exfil class E leak class F extort ``` ## Táticas, Técnicas e Procedimentos (TTPs) O Coinbase Cartel emprega técnicas focadas em acesso via credenciais e exfiltração: - **Acesso Inicial**: Contas válidas ([[t1078-valid-accounts|T1078]]), relações de confiança ([[t1199-trusted-relationship|T1199]]), vishing ([[t1566-phishing|T1566.004]]) com suborno e credenciais roubadas - **Execução**: Scripts Unix/shell em ESXi ([[t1059-command-and-scripting-interpreter|T1059.004]]) - **Persistência**: Criação de contas ocultas, tokens OAuth, chaves SSH - **Evasão**: Limpeza de logs ESXi ([[t1070-indicator-removal|T1070]]), uso de Tor/VPN - **Coleta**: Exportação via CRM/API de repositórios de informação ([[t1213-data-from-information-repositories|T1213]]) - **Exfiltração**: Transferências criptografadas via API/Tor ([[t1567-exfiltration-over-web-service|T1567]]) - **Impacto Projetado**: Criptografia via [[shinysp1d3r]] em desenvolvimento ([[t1486-data-encrypted-for-impact|T1486]]) ## Campanhas Notáveis | Data | Alvo | País | Detalhes | |------|------|------|----------| | Set 2025 | Múltiplos alvos healthcare | EAU | ~10 organizações de saúde em um mês | | Dez 2025 | Top 10 Bitdefender | Global | 60+ vítimas acumuladas | | Mar 2026 | Augenomics | EUA | Dados genômicos ameaçados de vazamento | | Mar 2026 | [[jbs-sa\|JBS S.A.]] | [[latam\|Brasil]] | Alegação de 3TB de dados exfiltrados | ## Infraestrutura e Ferramentas - **Scripts Python customizados**: Mimetizam Salesforce Data Loader para exfiltração - **[[shinysp1d3r]]**: Loader in-memory para ESXi (em desenvolvimento) - desabilita snapshots, criptografa VMDK - **Initial Access Brokers**: Orçamento de US$ 2M+ para zero-days - **Site de vazamento**: Publicação escalonada de dados e leilões - **Comúnicação**: Prazo de 48h para contato, 10 dias para pagamento em Bitcoin ## Alvos e Setores O grupo foca em setores de **alta receita**: [[healthcare|saúde]] (>50% das vítimas com [[technology]]/transportes), [[financial]], [[telecommunications]] e [[technology]]. A concentração em healthcare nos EAU sugere possível motivação geopolítica secundária. A alegação contra a [[jbs-sa|JBS]] no [[latam|Brasil]] - um dos maiores processadores de carne do mundo - demonstra ambição global e relevância para a América Latina. ## Relevância para o Brasil e LATAM > [!danger] Foco Direto em Gigante Agroindustrial Brasileira > O Coinbase Cartel reivindicou o ataque à [[jbs-sa|JBS Brasil]] em março de 2026, exfiltrando alegadamente 3TB de dados críticos. A JBS é a maior processadora de proteína animal do mundo com operações estratégicas em múltiplos estados brasileiros. Este ataque demonstra que o grupo não apenas tem capacidade técnica, mas também inteligência de negócios para identificar alvos de máximo impacto na cadeia de abastecimento brasileira. O grupo manifesta interesse explícito em LATAM conforme evidênciado pelas campanhas contra infraestrutura crítica brasileira. Sua estratégia de exfiltração silenciosa (sem criptografia imediata) torna a detecção mais difícil em redes corporativas. O modelo de "extorsão pura" do Coinbase Cartel, sem disrupção operacional inicial, reduz visibilidade de incidente e aumenta risco de danos reputacionais e competitivos para vítimas brasileiras. ## Indicadores de Comprometimento (IoCs) - Exfiltração via APIs criptografadas sobre Tor - Criação de contas OAuth não autorizadas - Scripts Python mimetizando Salesforce Data Loader - Comúnicações para plataformas de pagamento Bitcoin ## Referências - [Bitdefender - Coinbase Cartel Ransomware Group Extortion Tactics](https://businessinsights.bitdefender.com/coinbase-cartel-ransomware-group-extortion-tactics) - [FortiGuard - Coinbase Cartel Ransomware](https://www.fortiguard.com/threat-actor/6386/coinbase-cartel-ransomware) - [Red Piranha - Threat Intelligence Report](https://redpiranha.net/news/threat-intelligence-report-september-16-september-22-2025) - [CyberPress - Coinbase Cartel Steals First](https://cyberpress.org/coinbase-cartel-steals-first/)