Netcrook Logo
👤 SECPULSE
🗓️ 18 Apr 2026   🗂️ Cyber Warfare    

Coinbasecartel colpisce ancora: "Evict them for me" aggiunto alla lista delle vittime del ransomware

Il famigerato gruppo ransomware Coinbasecartel rivendica una nuova vittima, facendo scattare l’allarme in tutto il panorama cyber.

Il sottobosco digitale non dorme mai. Questa settimana, un gruppo che opera sotto il nome di "Coinbasecartel" ha lanciato un’altra sfida nella guerra incessante del ransomware, indicando pubblicamente "Evict them for me" come sua ultima vittima. L’annuncio, emerso su una nota piattaforma di leak legata al ransomware, segnala non solo un’ulteriore violazione, ma un duro promemoria dell’evoluzione di tattiche e bersagli dei sindacati criminali informatici.

Fatti in breve

  • Coinbasecartel, un importante gruppo ransomware, ha inserito "Evict them for me" tra le nuove vittime.
  • Sono stati rivelati i record DNS del dominio della vittima, indicando un possibile compromesso dell’infrastruttura.
  • Non sono stati pubblicati direttamente dati rubati, ma sono stati postati screenshot di leak come prova.
  • L’incidente è stato indicizzato da un servizio di monitoraggio del ransomware, non coinvolto nella distribuzione dei dati.
  • Questo attacco sottolinea la minaccia continua che il ransomware rappresenta per organizzazioni di ogni dimensione.

Dentro l’attacco: uno sguardo più da vicino

Coinbasecartel non è nuovo ai titoli. Il gruppo si è costruito una reputazione prendendo di mira organizzazioni eterogenee, sfruttando il modello della doppia estorsione: esfiltrare dati sensibili, poi minacciare l’esposizione pubblica a meno che non venga pagato un riscatto. La loro ultima vittima, "Evict them for me", sembra essere un’ulteriore tacca sulla loro cintura digitale, anche se i dettagli sull’organizzazione e sulla violazione restano riservati.

Gli attaccanti hanno pubblicato record DNS collegati al dominio della vittima - un dettaglio tecnico che suggerisce un accesso più profondo all’infrastruttura interna. Sebbene nessun file effettivamente rubato sia stato rilasciato al pubblico (per ora), l’inclusione di uno “screenshot di leak” è una classica tattica di intimidazione. Funziona come prova dell’intrusione, spingendo la vittima a negoziare e, al contempo, segnalando al mondo più ampio - e a potenziali futuri bersagli - che Coinbasecartel fa sul serio.

I siti di leak ransomware come quello che indicizza questo incidente svolgono un ruolo controverso. Non gestiscono né distribuiscono direttamente i dati rubati, ma agiscono invece come bacheche pubbliche che catalogano gli attacchi. La loro missione dichiarata: informare il pubblico, supportare la ricerca e migliorare la resilienza informatica. Eppure, la loro esistenza è la prova di quanto l’estorsione tramite ransomware sia diventata normalizzata e industrializzata.

L’attacco a "Evict them for me" è un esempio da manuale del copione ransomware nel 2024: compromettere, esfiltrare, minacciare e negoziare. Per chi difende, è un promemoria amaro che anche le organizzazioni fuori dalla Fortune 500 sono un bersaglio legittimo. L’esposizione dei record DNS suggerisce che gli attaccanti possano aver avuto un accesso significativo, potenzialmente aprendo la porta a successive campagne di phishing o a movimenti laterali all’interno della rete della vittima.

Conclusione: l’avanzata inarrestabile del ransomware

Mentre Coinbasecartel continua la sua campagna, organizzazioni di ogni dimensione e settore si trovano di fronte alla stessa realtà sconfortante: il ransomware non è una minaccia lontana, ma un pericolo chiaro e presente. Quest’ultimo incidente è un appello all’azione per una vigilanza maggiore, una risposta agli incidenti rapida e una formazione continua sulla sicurezza. Nell’era digitale, non è una questione di se, ma di quando il prossimo nome comparirà nella lista delle vittime del ransomware.

TECHCROOK

Per ridurre l’impatto di campagne ransomware basate su esfiltrazione e “doppia estorsione”, una soluzione concreta e acquistabile è Bitdefender Total Security, suite di protezione endpoint pensata per PC e dispositivi domestici/SOHO. Integra motore antimalware con analisi comportamentale, moduli anti-phishing e anti-frode utili contro vettori iniziali come email malevole e siti compromessi, oltre a funzioni anti-ransomware che monitorano modifiche sospette ai file e tentativi di cifratura. Include anche firewall e protezione web per limitare comunicazioni anomale verso infrastrutture di comando e controllo. È indicato per chi vuole alzare rapidamente la soglia difensiva senza interventi infrastrutturali complessi. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • Record DNS: I record DNS sono istruzioni digitali che indirizzano il traffico internet verso i server corretti, garantendo che siti web e servizi siano accessibili e sicuri.
  • Doppia: La doppia estorsione è un attacco informatico in cui i criminali sia cifrano sia rubano i dati, minacciando di divulgarli a meno che la vittima non paghi un riscatto.
  • Sito di leak: Un sito di leak è un sito web in cui i criminali informatici pubblicano o minacciano di pubblicare dati rubati per costringere le vittime a pagare un riscatto.
  • Movimento laterale: Il movimento laterale avviene quando gli attaccanti, dopo aver violato una rete, si spostano lateralmente per accedere ad altri sistemi o dati sensibili, ampliando controllo e portata.
Coinbasecartel Ransomware Cybersecurity
SECPULSE SECPULSE
SOC Detection Lead
← Back to news