Το τοπίο των επιθέσεων ransomware εξελίσσεται, με νέες ομάδες να υιοθετούν ασυνήθιστες τακτικές. Η ομάδα Coinbase Cartel εμφανίστηκε τον Σεπτέμβριο του 2025 και μέσα στον πρώτο μήνα λειτουργίας της ισχυρίστηκε ότι είχε ήδη 14 θύματα. Σε αντίθεση με τα παραδοσιακά σχήματα ransomware, επικεντρώνεται αποκλειστικά στην εξαγωγή δεδομένων χωρίς κρυπτογράφηση συστημάτων, σηματοδοτώντας μια μετατόπιση στις στρατηγικές του κυβερνοεγκλήματος.
Η μέθοδος αυτή κάνει τις επιθέσεις πιο «αθόρυβες» και ταχύτερες, ενώ εξακολουθεί να δίνει στους δράστες ισχυρό μοχλό πίεσης για λύτρα. Τα θύματα αντιμετωπίζουν ένα απλό τελεσίγραφο – πληρωμή για να μη δημοσιοποιηθούν τα δεδομένα ή δημόσια διαρροή τους.
Coinbase Cartel: Οι στόχοι και η γεωγραφική διάσταση
Η ομάδα στοχεύει οργανισμούς από πολλούς κλάδους, με οικονομικά μεγέθη από εκατομμύρια έως εκατοντάδες δισεκατομμύρια δολάρια. Αναλυτές της Bitdefender την κατέταξαν μεταξύ των 10 σημαντικότερων ομάδων ransomware τον Σεπτέμβριο και τον Δεκέμβριο του 2025, με περισσότερα από 60 θύματα στους πρώτους μήνες δράσης της.
Οι κλάδοι υγείας, τεχνολογίας και μεταφορών αποτελούν πάνω από το μισό των στόχων, ενώ ιδιαίτερα έντονη ήταν η επίδραση σε οργανισμούς υγείας στα Ηνωμένα Αραβικά Εμιράτα. Η συγκέντρωση επιθέσεων σε 10 υγειονομικούς οργανισμούς μέσα σε έναν μήνα δημιουργεί ερωτήματα για πιθανά γεωπολιτικά κίνητρα, πέρα από το καθαρά οικονομικό όφελος.
Τρόποι διείσδυσης και εκβιασμού
Η Coinbase Cartel χρησιμοποιεί κυρίως τεχνικές social engineering, ενώ συνεργάζεται και με Initial Access Brokers που παρέχουν ήδη παραβιασμένα διαπιστευτήρια. Επιπλέον αποκτά εκτεθειμένους κωδικούς μέσω υπόγειων ψηφιακών αγορών.
Αφού εισέλθουν σε ένα δίκτυο, οι επιτιθέμενοι χρησιμοποιούν διαχειριστικούς λογαριασμούς για να τροποποιούν ρυθμίσεις συστήματος και αρχεία καταγραφής, μειώνοντας τις πιθανότητες εντοπισμού. Τα δεδομένα που θεωρούνται πολύτιμα εξάγονται συστηματικά και στη συνέχεια δημοσιεύονται τα ονόματα των θυμάτων σε ειδικό site διαρροών.
Τα θύματα έχουν 48 ώρες για αρχική επικοινωνία μέσω συγκεκριμένης πλατφόρμας συνομιλίας και έως 10 ημέρες για πληρωμή σε bitcoin ή διαπραγμάτευση των λύτρων.
Οργάνωση και οικονομικοί πόροι
Η ομάδα λειτουργεί αυτόνομα, χωρίς μοντέλο ransomware-as-a-service, στρατολογώντας απευθείας κυβερνοεγκληματίες. Το περασμένο φθινόπωρο ζήτησε zero-day exploits με προϋπολογισμό άνω των 2 εκατ. δολαρίων, ένδειξη σημαντικών οικονομικών πόρων και φιλοδοξιών.
Μέτρα προστασίας για οργανισμούς
Η εφαρμογή πολυπαραγοντικής πιστοποίησης σε όλους τους λογαριασμούς – ιδιαίτερα στους διαχειριστικούς – θεωρείται κρίσιμη. Η τακτική ενημέρωση λογισμικού περιορίζει ευπάθειες που αξιοποιούνται για αρχική πρόσβαση.
Επειδή η ομάδα δεν κρυπτογραφεί δεδομένα, η ύπαρξη ασφαλών αντιγράφων προστατεύει από αλλοίωση πληροφοριών. Η καταγραφή κρίσιμων δεδομένων βοηθά στον εντοπισμό ευαίσθητων πληροφοριών που χρειάζονται αυξημένη προστασία, ενώ λύσεις threat intelligence και υπηρεσίες managed detection and response ενισχύουν την έγκαιρη ανίχνευση και αντιμετώπιση περιστατικών.
