BlackFile: nowa grupa wymuszeniowa wykorzystuje vishing do ataków na retail i hospitality

Wprowadzenie do problemu / definicja

BlackFile to nowo zidentyfikowana grupa cyberprzestępcza specjalizująca się w kradzieży danych oraz wymuszeniach finansowych. Jej działalność koncentruje się przede wszystkim na organizacjach z sektorów retail i hospitality, a podstawowym wektorem wejścia pozostaje vishing, czyli phishing głosowy prowadzony przez telefon.

Model operacyjny tej grupy pokazuje, że współczesne kampanie extortionware coraz częściej opierają się nie na szyfrowaniu systemów, lecz na przejęciu tożsamości użytkownika, uzyskaniu dostępu do usług chmurowych i cichej eksfiltracji danych o wysokiej wartości biznesowej.

W skrócie

BlackFile prowadzi kampanie, w których atakujący podszywają się pod firmowy dział IT i kontaktują się z pracownikami za pomocą spoofowanych numerów VoIP lub sfałszowanych identyfikatorów rozmówcy. Celem jest nakłonienie ofiary do zalogowania się na fałszywej stronie firmowej i przekazania poświadczeń wraz z kodem jednorazowym MFA.

Po przejęciu danych logowania sprawcy rejestrują własne urządzenia, utrwalają dostęp do środowiska ofiary, eskalują uprawnienia i pobierają dane z platform takich jak Salesforce czy SharePoint. Wykradzione informacje są następnie wykorzystywane do szantażu, a żądania okupu mogą sięgać milionów dolarów.

Kontekst / historia

Aktywność przypisywana BlackFile została powiązana z falą ataków obserwowanych od lutego 2026 roku. Różne zespoły threat intelligence stosują wobec tej aktywności odmienne oznaczenia, co sugeruje równoległe śledzenie tego samego podmiotu lub klastra działań przez kilka organizacji analitycznych.

Na tle wcześniejszych kampanii cyberprzestępczych wyróżnia się tutaj nacisk na socjotechnikę, przejęcie tożsamości oraz wykorzystanie legalnych funkcji usług SaaS. To wpisuje się w szerszy trend odchodzenia od klasycznego ransomware na rzecz szybkiej eksfiltracji danych i presji psychologicznej wywieranej na ofiary bez konieczności uruchamiania destrukcyjnego malware.

Analiza techniczna

Łańcuch ataku rozpoczyna się od rozmowy telefonicznej z pracownikiem. Napastnicy wykorzystują preteksty związane z resetem hasła, problemami z logowaniem, synchronizacją MFA lub pilną weryfikacją konta. Kluczowe znaczenie ma wymuszenie wejścia na spreparowany portal logowania i skłonienie ofiary do podania loginu, hasła oraz kodu jednorazowego.

Po pozyskaniu poświadczeń sprawcy rejestrują własne urządzenia w środowisku ofiary, co pozwala im ominąć część mechanizmów ochronnych i utrzymać dostęp. Następnie analizują wewnętrzne katalogi pracowników, aby identyfikować osoby uprzywilejowane i przejmować konta o wyższym poziomie dostępu, w tym konta menedżerskie oraz administracyjne.

W fazie eksfiltracji dane są pobierane za pomocą standardowych funkcji API i natywnych mechanizmów dostępnych w wykorzystywanych platformach biznesowych. Szczególnie istotne jest użycie interfejsów Salesforce oraz funkcji pobierania danych w SharePoint, co pozwala atakującym działać w sposób przypominający normalną aktywność uwierzytelnionego użytkownika.

Przestępcy wyszukują pliki i rekordy zawierające informacje o wysokiej wartości, takie jak dane poufne, dane pracownicze, dokumenty operacyjne czy identyfikatory pokroju numerów SSN. Dzięki temu mogą szybko wyselekcjonować materiały najbardziej przydatne w szantażu, presji regulacyjnej i działaniach reputacyjnych.

Istotnym wyzwaniem obronnym jest fakt, że cały ruch może wyglądać jak legalne użycie usług SaaS przez użytkownika logującego się przez SSO. To oznacza, że wykrywanie oparte wyłącznie na prostych alertach logowania, user-agentach czy pojedynczym zdarzeniu MFA bywa niewystarczające. Skuteczna detekcja wymaga korelacji kontekstu, anomalii zachowań oraz nietypowej skali dostępu i pobierania danych.

Po zakończeniu eksfiltracji skradzione dokumenty trafiają na infrastrukturę kontrolowaną przez sprawców i mogą zostać użyte do wymuszeń lub publikacji na stronie wyciekowej. Odnotowano również działania wykraczające poza cyberprzestrzeń, w tym przypadki presji pozatechnicznej wobec pracowników i kadry kierowniczej.

Konsekwencje / ryzyko

Ryzyko związane z działalnością BlackFile należy ocenić jako wysokie, ponieważ grupa nie potrzebuje zaawansowanego malware, aby osiągnąć efekt biznesowy ataku. W praktyce wystarczają skuteczne techniki socjotechniczne, przejęcie tożsamości i nadużycie legalnych usług chmurowych, co znacząco utrudnia szybkie wykrycie incydentu.

Dla firm z sektorów retail i hospitality szczególnie niebezpieczny jest możliwy wyciek danych klientów, dokumentacji kadrowej, raportów biznesowych, danych operacyjnych oraz informacji związanych z łańcuchem dostaw i systemami sprzedażowymi. Skutki obejmują nie tylko żądania okupu, ale także koszty reagowania, ryzyka regulacyjne, utratę zaufania partnerów i długofalowe szkody wizerunkowe.

Jeżeli napastnicy przejmą konta uprzywilejowane, incydent może szybko przejść z pojedynczego oszustwa telefonicznego w pełnoskalowe naruszenie bezpieczeństwa danych. Otwiera to drogę do dalszej eskalacji uprawnień, ukrywania śladów, zakłócania komunikacji i poszerzania dostępu w całym ekosystemie tożsamościowym i chmurowym organizacji.

Rekomendacje

Organizacje powinny wzmocnić procedury obsługi zgłoszeń telefonicznych kierowanych do działów IT i helpdesku. Każda prośba o reset hasła, zmianę urządzenia, ponowną rejestrację MFA lub potwierdzenie tożsamości powinna podlegać wieloetapowej weryfikacji z użyciem niezależnego kanału komunikacji.

• Ograniczyć możliwość samodzielnej rejestracji nowych urządzeń bez dodatkowej kontroli.
• Egzekwować polityki dostępu warunkowego uwzględniające geolokalizację, stan urządzenia i poziom ryzyka sesji.
• Monitorować nietypowe dodanie nowego czynnika MFA lub nowego endpointu do konta użytkownika.
• Analizować nagłe wzrosty liczby pobrań plików oraz masowe zapytania API w środowiskach SaaS.
• Wykrywać nietypowe wyszukiwania słów kluczowych związanych z danymi wrażliwymi.
• Śledzić zmiany wzorców aktywności kont uprzywilejowanych i kadry zarządzającej.

Kluczowe znaczenie mają także szkolenia z zakresu socjotechniki, zwłaszcza dla helpdesku, recepcji, zespołów operacyjnych i pracowników pierwszej linii. Ćwiczenia powinny obejmować realistyczne scenariusze vishingowe, rozpoznawanie presji czasowej oraz próby obchodzenia procedur bezpieczeństwa.

W planie reagowania na incydenty warto uwzględnić procedury specyficzne dla przejęcia tożsamości w usługach chmurowych.

• Natychmiastowe wylogowanie aktywnych sesji.
• Unieważnienie tokenów dostępowych.
• Reset metod MFA i przegląd zarejestrowanych urządzeń.
• Analiza aktywności API w kluczowych platformach SaaS.
• Wymuszenie rotacji poświadczeń kont uprzywilejowanych.
• Zabezpieczenie logów tożsamościowych i aplikacyjnych na potrzeby analizy śledczej.

Podsumowanie

BlackFile to przykład nowoczesnej grupy wymuszeniowej, która łączy vishing, przejmowanie tożsamości i cichą eksfiltrację danych z legalnych usług biznesowych. O skuteczności tej kampanii decyduje nie tyle zaawansowany malware, ile umiejętne wykorzystanie człowieka jako punktu wejścia oraz nadużycie standardowych funkcji środowisk chmurowych.

Dla organizacji oznacza to konieczność przesunięcia części działań obronnych z klasycznej detekcji złośliwego oprogramowania na bezpieczeństwo tożsamości, procesy helpdeskowe oraz analizę zachowań w aplikacjach SaaS. W praktyce to właśnie dojrzałość operacyjna i dyscyplina proceduralna mogą przesądzić o odporności na podobne kampanie.

Źródła

1. BleepingComputer — New BlackFile extortion gang targets retail and hospitality orgs — https://www.bleepingcomputer.com/news/security/new-blackfile-extortion-gang-targets-retail-and-hospitality-orgs/
2. Retail & Hospitality ISAC — Threat Bulletin: BlackFile / CL-CRI-1116 — https://rhisac.org/threat-bulletin-blackfile-cl-cri-1116/
3. Google Cloud — Threat Intelligence blog, UNC6671 — https://cloud.google.com/blog/topics/threat-intelligence
4. CrowdStrike — Cordial Spider — https://www.crowdstrike.com/