Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
BlackFile to nowo opisana grupa cyberprzestępcza specjalizująca się w kradzieży danych i wymuszeniach finansowych. Jej znakiem rozpoznawczym jest wykorzystanie vishingu, czyli phishingu głosowego, w którym napastnicy podszywają się pod pracowników wsparcia IT i nakłaniają ofiary do ujawnienia poświadczeń oraz kodów uwierzytelniających.
Szczególnie narażone są organizacje z sektorów retail oraz hospitality. Rozproszone zespoły, duża rotacja pracowników, presja operacyjna i częsty kontakt z helpdeskiem sprawiają, że socjotechnika telefoniczna może być tam wyjątkowo skuteczna.
W skrócie
BlackFile prowadzi ukierunkowane kampanie przeciwko firmom handlowym i hotelarsko-gastronomicznym, wykorzystując spoofowane numery VoIP lub fałszywe identyfikatory dzwoniącego. Celem atakujących jest przejęcie danych logowania, obejście zabezpieczeń MFA przez rejestrację własnych urządzeń oraz uzyskanie dostępu do kont o podwyższonych uprawnieniach.
Po skutecznym przejęciu dostępu grupa koncentruje się na eksfiltracji danych z usług chmurowych i platform biznesowych, takich jak Salesforce czy SharePoint. Następnie stosuje model wymuszenia oparty na groźbie ujawnienia skradzionych informacji, bez konieczności szyfrowania środowiska ofiary.
Kontekst / historia
Aktywność przypisywana BlackFile została powiązana z falą incydentów obserwowanych od lutego 2026 roku. Różne podmioty zajmujące się analizą zagrożeń śledzą tę samą aktywność pod odmiennymi nazwami, co sugeruje równoległe badania wspólnej infrastruktury, technik i wzorców operacyjnych.
Kampanie tej grupy wpisują się w szerszy trend odchodzenia od klasycznego ransomware na rzecz modelu data theft and extortion. W takim scenariuszu najcenniejszym zasobem przestępców nie jest zaszyfrowane środowisko, lecz dokumentacja biznesowa, dane pracowników, korespondencja i materiały poufne pozyskane z legalnie używanych usług.
To również kolejny dowód na to, że słabym punktem organizacji pozostają nie tylko technologie, ale też procedury operacyjne. Reset haseł, rejestracja urządzeń, kontakt telefoniczny z użytkownikami i weryfikacja tożsamości pracownika stają się dziś jednym z głównych pól walki z nowoczesną cyberprzestępczością.
Analiza techniczna
Łańcuch ataku rozpoczyna się od telefonu do pracownika. Napastnik podszywa się pod dział IT i tworzy wrażenie pilnej, rutynowej procedury administracyjnej. Ofiara jest następnie kierowana do fałszywej strony logowania przypominającej firmowy portal uwierzytelniania, gdzie wpisuje login, hasło i jednorazowy kod MFA.
Po zdobyciu poświadczeń atakujący rejestrują kontrolowane przez siebie urządzenia w środowisku ofiary. Taki krok pozwala im utrzymać dostęp i ogranicza skuteczność części mechanizmów ochronnych, które zakładają, że zarejestrowane urządzenie jest zaufane.
Następnie grupa wykorzystuje dostęp do katalogów organizacyjnych i informacji wewnętrznych do identyfikacji kont uprzywilejowanych, w tym menedżerów oraz kadry wykonawczej. W praktyce umożliwia to rozszerzenie kompromitacji na kolejne systemy i zwiększa wartość danych dostępnych do kradzieży.
Na etapie eksfiltracji BlackFile korzysta z legalnych interfejsów API i natywnych funkcji pobierania danych dostępnych w usługach SaaS. Z perspektywy monitoringu bezpieczeństwa ruch może wyglądać jak zwykła aktywność autoryzowanego użytkownika, co utrudnia wykrycie incydentu przez klasyczne mechanizmy EDR i standardowe reguły detekcyjne.
W zgłoszonych przypadkach celem były między innymi pliki i rekordy przechowywane w Salesforce oraz SharePoint. Szczególne zainteresowanie budziły dokumenty zawierające dane poufne, raporty biznesowe, informacje o pracownikach i inne zasoby o wysokiej wartości operacyjnej lub reputacyjnej.
Po skopiowaniu danych na infrastrukturę kontrolowaną przez przestępców następuje etap wymuszenia. Ofiara otrzymuje żądanie okupu, często wsparte groźbą publikacji danych na stronie wyciekowej lub dodatkowymi działaniami psychologicznymi wymierzonymi w pracowników i kadrę zarządzającą.
Konsekwencje / ryzyko
Ryzyko związane z BlackFile jest wysokie, ponieważ ataki tej grupy nie wymagają przełamywania zabezpieczeń perymetrycznych za pomocą złożonych exploitów. Zamiast tego bazują na skutecznej manipulacji personelem oraz nadużyciu prawidłowych sesji logowania.
Wykorzystanie legalnych usług, poprawnych poświadczeń i standardowych funkcji eksportu danych obniża szanse na szybkie wykrycie. Jeżeli atakującym uda się przejąć konto uprzywilejowane, skala kompromitacji może objąć wiele systemów jednocześnie i prowadzić do rozległego naruszenia bezpieczeństwa informacji.
Dla firm z branży retail i hospitality potencjalne skutki obejmują wyciek danych pracowników, dokumentów finansowych, raportów operacyjnych, danych klientów oraz materiałów objętych tajemnicą handlową. Następstwa mogą obejmować straty finansowe, koszty obsługi incydentu, ryzyko sankcji regulacyjnych, przestój operacyjny oraz długotrwałe szkody reputacyjne.
Rekomendacje
Obrona przed tego typu kampaniami wymaga połączenia zabezpieczeń technicznych z dojrzałymi procedurami operacyjnymi. Kluczowe znaczenie ma zaostrzenie zasad dotyczących obsługi połączeń telefonicznych związanych z resetem haseł, rejestracją urządzeń i zmianami uprawnień.
Każde żądanie powinno być weryfikowane niezależnym kanałem, a personel musi znać podstawową zasadę: dział IT nie prosi telefonicznie o hasło, kod MFA ani logowanie do niezweryfikowanego portalu. Warto również ograniczyć możliwość samodzielnej rejestracji nowych urządzeń bez dodatkowych kontroli kontekstowych.
W środowiskach SaaS należy włączyć szczegółowe logowanie operacji API, alertowanie na nietypowe masowe eksporty oraz monitorowanie dostępu do plików zawierających dane wrażliwe. Ochroną powinny zostać objęte szczególnie konta kierownicze i uprzywilejowane, dla których należy stosować dodatkowe polityki dostępu warunkowego.
- egzekwowanie zasady najmniejszych uprawnień i regularne przeglądy dostępu,
- segmentacja danych i ograniczanie zasięgu widoczności w systemach SaaS,
- dodatkowe uwierzytelnianie lub blokady dla masowych eksportów danych,
- szybkie unieważnianie sesji i tokenów po wykryciu incydentu,
- szkolenia z vishingu dla pracowników pierwszej linii, recepcji, call center i menedżerów,
- przygotowanie procedur reagowania na wymuszenia oparte na kradzieży danych,
- włączenie działów prawnych, komunikacyjnych i HR do planów reagowania kryzysowego.
Podsumowanie
BlackFile pokazuje, że nowoczesne kampanie wymuszeniowe coraz częściej opierają się na przejęciu tożsamości użytkownika, nadużyciu legalnych usług chmurowych i presji psychologicznej, a nie wyłącznie na szyfrowaniu systemów. Dla organizacji z sektorów retail i hospitality oznacza to konieczność uszczelnienia procesów helpdeskowych, kontroli rejestracji urządzeń, monitorowania aktywności w aplikacjach SaaS oraz wzmacniania odporności personelu na socjotechnikę telefoniczną.
To właśnie połączenie vishingu, legalnego dostępu i cichej eksfiltracji danych sprawia, że operacje BlackFile są trudne do wykrycia i potencjalnie bardzo kosztowne. Firmy, które nadal traktują telefoniczne oszustwa jako zagrożenie drugorzędne, powinny zweryfikować swoje procedury, zanim podobny scenariusz doprowadzi do poważnego incydentu.
Źródła
- BleepingComputer — New BlackFile extortion group linked to surge of vishing attacks — https://www.bleepingcomputer.com/news/security/new-blackfile-extortion-gang-targets-retail-and-hospitality-orgs/
- RH-ISAC — BlackFile / CL-CRI-1116 advisory — https://rhisac.org/