Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
BlackFile to nowo zidentyfikowana grupa cyberprzestępcza, która koncentruje się na wymuszeniach i kradzieży danych w organizacjach z sektora handlu detalicznego oraz hospitality. Jej znakiem rozpoznawczym są ataki typu vishing, czyli telefoniczna socjotechnika polegająca na podszywaniu się pod pracowników IT lub helpdesku w celu wyłudzenia poświadczeń, obejścia mechanizmów MFA lub skłonienia ofiary do wykonania działań otwierających drogę do przejęcia dostępu.
W skrócie
Aktywność BlackFile jest łączona z falą kampanii prowadzonych co najmniej od lutego 2026 roku. Grupa wykorzystuje połączenia głosowe, spoofing numerów VoIP oraz fałszywe identyfikatory dzwoniącego, aby zwiększyć wiarygodność kontaktu i skłonić pracowników do współpracy.
Celem ataków są przede wszystkim firmy z branży retail i hotelarskiej, gdzie duża liczba pracowników, rozproszone środowiska oraz intensywne korzystanie z usług wsparcia IT sprzyjają skuteczności socjotechniki. Udane incydenty mogą prowadzić do przejęcia tożsamości, dostępu do aplikacji SaaS, eksfiltracji danych oraz późniejszych prób wymuszenia finansowego.
Kontekst / historia
Według ustaleń badaczy bezpieczeństwa BlackFile pojawił się jako odrębny podmiot operacyjny w pierwszych miesiącach 2026 roku. W analizach tej samej aktywności pojawiają się także inne oznaczenia, takie jak CL-CRI-1116, UNC6671 oraz Cordial Spider, co wynika z równoległego śledzenia kampanii przez różne zespoły threat intelligence.
Wybór sektorów retail i hospitality nie jest przypadkowy. Organizacje działające w tych branżach często funkcjonują w modelu rozproszonym, mają wysoką rotację pracowników, korzystają z centralnych systemów tożsamości i rozbudowanego wsparcia technicznego. To tworzy środowisko, w którym podszywanie się pod helpdesk może być wyjątkowo skuteczne.
Szerszy kontekst tej kampanii wpisuje się w trend przesuwania punktu ciężkości ataków z klasycznej eksploatacji podatności technicznych na przejmowanie tożsamości i nadużywanie zaufania organizacyjnego. Coraz częściej celem przestępców stają się systemy federacji tożsamości, usługi SSO oraz aplikacje biznesowe działające w chmurze.
Analiza techniczna
Łańcuch ataku stosowany przez BlackFile opiera się przede wszystkim na telefonicznej socjotechnice. Napastnik kontaktuje się z pracownikiem, przedstawiając się jako członek zespołu IT, administrator lub pracownik wsparcia technicznego. Dzięki spoofingowi numeru telefonu i używaniu nazw przypominających wewnętrzne struktury firmy rozmowa może wydawać się autentyczna.
W trakcie takiego kontaktu ofiara może zostać nakłoniona do wykonania jednego lub kilku działań, które otwierają dostęp do środowiska organizacji.
- ujawnienia loginu i hasła,
- zatwierdzenia żądania MFA,
- zresetowania hasła zgodnie z instrukcją rozmówcy,
- dodania nowego urządzenia do konta,
- wejścia na spreparowaną stronę logowania,
- uruchomienia pozornego procesu pomocy technicznej.
W bardziej zaawansowanym scenariuszu rozmowa telefoniczna jest wspierana przez przygotowaną w czasie rzeczywistym stronę phishingową, która odwzorowuje legalny portal logowania do usług tożsamości lub aplikacji SaaS. Dane wpisane przez ofiarę są natychmiast przechwytywane, a jeżeli firma stosuje MFA, napastnik może wywierać presję, by użytkownik zaakceptował powiadomienie push, podał kod jednorazowy albo przeprowadził reset drugiego składnika.
Po przejęciu dostępu do systemu tożsamości atakujący nie ograniczają się do jednego konta. Skupiają się na eskalacji dostępu i poruszaniu się po środowisku, próbując uzyskać wgląd do poczty, repozytoriów dokumentów, platform CRM, narzędzi komunikacyjnych oraz paneli administracyjnych. Obserwowane działania po kompromitacji obejmują między innymi eksport danych, tworzenie reguł skrzynkowych, rejestrację nowych aplikacji OAuth, generowanie tokenów API oraz utrwalanie dostępu przez zmiany w konfiguracji kont.
Istotnym elementem modelu działania BlackFile jest szybkie przejście od kompromitacji do eksfiltracji danych i wymuszenia. Oznacza to mniejszy nacisk na szyfrowanie infrastruktury, a większy na presję reputacyjną związaną z groźbą ujawnienia skradzionych informacji.
Konsekwencje / ryzyko
Dla organizacji z sektora retail i hospitality zagrożenie ma charakter wielowymiarowy. Vishing pozwala ominąć część tradycyjnych mechanizmów ochrony poczty elektronicznej, ponieważ punkt wejścia nie opiera się na e-mailu. Dodatkowo atak wykorzystuje presję czasu i autorytet rzekomego działu IT, co zwiększa skuteczność wobec personelu operacyjnego.
Najpoważniejsze konsekwencje takich incydentów obejmują:
- kradzież danych klientów i danych transakcyjnych,
- przejęcie dostępu do systemów SaaS i paneli administracyjnych,
- naruszenie poufności korespondencji wewnętrznej,
- utrwalenie dostępu przez konta, tokeny lub aplikacje zewnętrzne,
- wymuszenia finansowe połączone z groźbą publikacji danych,
- zakłócenie pracy sklepów, hoteli, central rezerwacyjnych i zaplecza logistycznego,
- skutki regulacyjne i prawne wynikające z naruszenia ochrony danych.
Szczególnie groźne jest przejęcie centralnego systemu tożsamości. W takim scenariuszu jedna skuteczna manipulacja może otworzyć dostęp do wielu połączonych usług, co sprawia, że kompromitacja procesu resetu MFA lub procedur helpdesku może mieć skutki porównywalne z przejęciem konta o wysokich uprawnieniach.
Rekomendacje
Organizacje powinny traktować vishing jako pełnoprawny wektor początkowego dostępu i dostosować do niego zarówno zabezpieczenia techniczne, jak i procedury operacyjne. Szczególne znaczenie ma wzmocnienie ochrony obszaru identity security oraz formalizacja działań helpdesku.
- wdrożenie phishing-resistant MFA,
- zaostrzenie procedur resetu haseł i MFA, w tym obowiązkowej weryfikacji wielokanałowej,
- ograniczenie możliwości dodawania nowych metod uwierzytelniania bez dodatkowej autoryzacji,
- monitorowanie resetów MFA, rejestracji nowych urządzeń i logowań z nietypowych lokalizacji,
- stosowanie zasad least privilege oraz separacji uprawnień,
- alertowanie na nietypowe operacje po zmianach bezpieczeństwa konta,
- regularne szkolenia i ćwiczenia dla helpdesku oraz pracowników biznesowych,
- aktualizację playbooków IR o scenariusze kompromitacji tożsamości bez użycia malware,
- przegląd informacji publicznie dostępnych o strukturze IT i kanałach wsparcia,
- audyt integracji SSO oraz aplikacji zewnętrznych pod kątem nadmiernych uprawnień i trwałych tokenów.
Z perspektywy SOC szczególnie cenne jest korelowanie zdarzeń tożsamości z aktywnością użytkownika w aplikacjach chmurowych. Sekwencja obejmująca reset MFA, dodanie nowego urządzenia, logowanie z nietypowej lokalizacji i szybki eksport danych powinna być traktowana jako sygnał incydentu wysokiego ryzyka.
Podsumowanie
Aktywność BlackFile pokazuje, że współczesne kampanie wymuszeniowe coraz częściej opierają się na przejmowaniu tożsamości, a nie wyłącznie na malware czy exploitach. Vishing staje się jednym z najgroźniejszych wektorów wejścia, ponieważ uderza nie tylko w technologię, ale przede wszystkim w procesy organizacyjne, procedury wsparcia i zaufanie pracowników.
Dla sektora retail i hospitality oznacza to konieczność przesunięcia części wysiłków obronnych z warstwy infrastrukturalnej na obszar ochrony tożsamości, bezpieczeństwa procesów helpdeskowych oraz monitoringu działań po uwierzytelnieniu. W praktyce to odporność organizacji na manipulację może decydować o tym, czy incydent zakończy się pojedynczym zgłoszeniem, czy pełnoskalowym naruszeniem danych i próbą wymuszenia.
Źródła
- Infosecurity Magazine – BlackFile Group Targets Retail and Hospitality with Vishing Attacks
- BleepingComputer – New BlackFile extortion group linked to surge of vishing attacks
- Okta Security – Social Engineering Impersonation Report: Response and Recommendation
- Palo Alto Networks – 2026 Unit 42 Global Incident Response Report
- SC Media – Vishing attacks on Okta identity systems on the rise