# Coinbase Cartel Ransomware > [!danger] Grupo de Extorsão por Dados - Ativo desde Setembro de 2025 > Coinbase Cartel é um ator de ameaça emergente especializado em exfiltração de dados sem criptografia, com mais de 95 vítimas em 24 países e provável conexão com membros de grupos como ShinyHunters e Scattered Spider. ## Descrição [[coinbasecartel-ransomware|Coinbase Cartel]] é um grupo de extorsão cibernética que surgiu em setembro de 2025, adotando uma abordagem distinta de outros grupos de ransomware: em vez de criptografar sistemas, o grupo foca exclusivamente em **exfiltração de dados** para pressionar vítimas ao pagamento de resgate mediante ameaça de públicação ou venda das informações roubadas. Essa tática permite operações mais silenciosas e rápidas, reduzindo o risco de detecção por monitoramento de criptografia de disco. O grupo opera um **site de vazamento na dark web** com um sistema de divulgação escalonado: ao detectar uma vítima, concedem um prazo de 48 horas para contato inicial e 10 dias para pagamento em Bitcoin. Caso não haja acordo, amostras parciais dos dados são liberadas como pressão, seguidas de públicação ou leilão completo. Até início de 2026, o grupo acumulou mais de **95 vítimas em 24 países**, com incidência nos setores de saúde, tecnologia, transporte, finanças e telecomúnicações. Analistas avaliam que o Coinbase Cartel pode ser composto por afiliados ou ex-membros de grupos como [[scattered-spider|Scattered Spider]] (também rastreado como shinysp1d3r), [[shinyhunters|ShinyHunters]] e [[lapsus-group|LAPSUS$]], embora essa atribuição não seja confirmada. Notavelmente, o grupo está desenvolvendo capacidades de ransomware direcionadas a ambientes **VMware ESXi**, indicando possível transição para modelo de dupla extorsão. O grupo opera sem o modelo tradicional de Ransomware-as-a-Service (RaaS), o que o diferencia de grupos como [[akira-ransomware|Akira]] e [[lockbit-ransomware|LockBit]] na estrutura organizacional, embora compartilhe técnicas de extorsão similares. ## Técnicas Utilizadas | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de aplicações expostas e VPNs | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais VPN comprometidas, reutilização de senhas | | Initial Access | [[t1566-phishing\|T1566]] | Phishing e engenharia social | | Persistence | [[t1098-account-manipulation\|T1098]] | Manipulação de contas administrativas | | Defense Evasion | [[t1562-impair-defenses\|T1562]] | Manipulação de logs para ocultar acesso | | Exfiltration | [[t1567-exfiltration-over-web-service\|T1567]] | Exfiltração de dados para infraestrutura externa | | Impact | [[t1657-financial-theft\|T1657]] | Extorsão via ameaça de públicação de dados | ## Grupos que Usam O Coinbase Cartel opera de forma independente, sem modelo RaaS, mas com suspeita de conexão com: - Possíveis afiliados de [[scattered-spider|Scattered Spider]] - Possíveis membros de [[shinyhunters|ShinyHunters]] - Estrutura similar ao modelo de [[lapsus-group|LAPSUS$]] ## Detecção - Monitorar atividade administrativa incomum em ambientes de VPN e RDP, especialmente acessos fora do horário comercial ou de geolocalização atípica - Detectar exfiltração massiva de dados para serviços externos ou endereços Tor, especialmente em volumes anômalos de tráfego de saída - Implementar alertas para manipulação ou deleção de logs de sistema, que é uma das táticas documentadas do grupo para dificultar investigação forense - Monitorar o site de leak do grupo (`fjg4zi4opkxkvdz7mvwp7h6goe4tcby3hhkrz43pht4j3vakhy75znyd.onion`) para verificar se a organização figura como vítima ```sigma title: Coinbase Cartel - Suspicious Data Exfiltration status: experimental logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationPort: - 443 - 80 filter_legitimate: DestinationHostname|contains: - 'microsoft.com' - 'windows.com' condition: selection and not filter_legitimate level: medium tags: - attack.exfiltration - attack.t1567 ``` ## Relevância LATAM/Brasil Embora não haja registros confirmados de vítimas brasileiras ou latino-americanas nas listas de divulgação do Coinbase Cartel até março de 2026, o grupo demonstra apetite por organizações em múltiplos países e setores. O modelo de extorsão por dados (sem criptografia) é particularmente preocupante para empresas brasileiras, pois pode não ser detectado pelos controles tradicionais focados em monitoramento de ransomware de criptografia. O setor de **saúde** - principal alvo do grupo - está em crescimento acelerado no Brasil com digitalização de prontuários eletrônicos, aumentando a superfície de ataque. A expansão para infraestrutura ESXi, em fase de desenvolvimento pelo grupo, representa ameaça adicional para organizações que ainda não segmentaram adequadamente ambientes de virtualização. **Setores impactados:** [[healthcare|saúde]] - [[technology|tecnologia]] - [[transportation|transporte]] - [[financial|financeiro]] - [[telecommunications|telecomúnicações]] ## Referências - [1](https://www.fortiguard.com/threat-actor/6386/coinbase-cartel-ransomware) FortiGuard Labs - Coinbase Cartel Threat Actor Profile - [2](https://businessinsights.bitdefender.com/coinbase-cartel-ransomware-group-extortion-tactics) Bitdefender - Coinbase Cartel Extortion Tactics - [3](https://www.thehackerwire.com/ransomware-groups/coinbasecartel/) The Hacker Wire - Coinbase Cartel Ransomware Group - [4](https://www.cyfirma.com/research/tracking-ransomware-september-2025/) CYFIRMA - Tracking Ransomware September 2025