BlackFile vishing zsarolási műveletei
A Google Threat Intelligence és az RH-ISAC elemzése szerint a BlackFile nevű extorziós csoport 2026 eleje óta intenzív vishing kampányokat folytat elsősorban a kiskereskedelmi és vendéglátóipari szektor ellen. A csoport – amelyet CL-CRI-1116, UNC6671 és Cordial Spider néven is követnek – nem klasszikus ransomware-modellt használ, hanem telefonos pszichológiai megtévesztésre, hitelesítőadat-lopásra és SaaS-alapú adatlopásra építi műveleteit.
A támadások jellemzően hamis IT helpdesk hívásokkal indulnak. A támadók spoofolt VoIP-számokról vagy manipulált caller ID-val keresik az alkalmazottakat, majd vállalati SSO-oldalakra emlékeztető phishing portálokra irányítják őket. Itt megszerzik a felhasználóneveket, jelszavakat és egyszer használatos MFA-kódokat is. A kompromittált accountokhoz ezután saját eszközöket regisztrálnak, így tartós hozzáférést alakítanak ki a vállalati identitáskezelő rendszerekben.
A BlackFile különösen erősen támaszkodik legitim cloudszolgáltatások és API-k visszaélésére. A támadók Microsoft Graph API-n keresztül SharePoint környezeteket térképeznek fel, illetve Salesforce API-kat használva nagy mennyiségű adatot exportálnak. Kiemelten keresnek confidential, SSN, payroll és hasonló kulcsszavakat tartalmazó dokumentumokat. A műveletek sokszor teljesen legitimnek tűnő SSO-munkameneteken keresztül zajlanak, ami jelentősen megnehezíti a detekciót hagyományos EDR- vagy hálózati monitorozó rendszerekkel.
A kutatók szerint a csoport a living off the land megközelítést alkalmazza, legitim SaaS-funkciókat, API-kat, böngészőalapú hozzáférést és normál fájlletöltési folyamatokat használnak adatlopásra. Emellett antidetect böngészőket és residential proxy infrastruktúrát is alkalmaznak földrajzi helyzetük és valódi infrastruktúrájuk elrejtésére.
Az extorziós nyomásgyakorlás szintén szokatlanul agresszív. A BlackFile hét számjegyű váltságdíjakat követel, miközben a lopott adatokat saját leak site-on publikálja. Egyes esetekben swatting incidenseket is dokumentáltak, ahol hamis segélyhívásokkal próbálták megfélemlíteni a vállalatok vezetőit és alkalmazottait. A Google és a Palo Alto Networks szerint a csoport valószínűleg kapcsolatban áll a The Com nevű, laza szerveződésű angol nyelvű kiberbűnözői közösséggel.
