Bezpečnostní výzkumníci varují před skupinou BlackFile

Bezpečnostní výzkumníci varují před skupinou BlackFile – skupinou pravděpodobně spojenou s kyberzločineckou sítí The Com, která se vydává za IT podporu a prostřednictvím hlasového phishingu a sofistikovaného sociálního inženýrství úspěšně kompromituje organizace napříč odvětvími.

Mezi postiženými jsou firmy ze zdravotnictví, technologického sektoru, dopravy, logistiky, velkoobchodu i maloobchodu. Cílené útoky trvají od února, v hledáčku retail a pohostinství.

Podle nejnovějších analýz výzkumného týmu Unit 42 společnosti Palo Alto Networks jsou od února letošního roku aktivně napadány především organizace z maloobchodního a hotelového sektoru. Zprávu doprovázenou indikátory kompromitace (IoC) zveřejnilo ve čtvrtek Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC).

Skupinu BlackFile sledují bezpečnostní firmy také pod označeními CL-CRI-1116, UNC6671 nebo Cordial Spider. Útočníci si oběti vybírají příležitostně a kampaň stále probíhá. Přesný počet dosud postižených organizací Unit 42 nezveřejnil.

Aktivity skupiny BlackFile v retailu a pohostinství nejsou izolovaným jevem, ale součástí rozsáhlejší vlny hlasových phishingových útoků, které v lednu varovaly jak Google Threat Intelligence Group, tak platforma Okta. Více kyberzločineckých skupin přitom využívá podobné taktiky.

CrowdStrike navíc zaznamenal, že aktivity BlackFile se překrývají s kampaní krádeže dat a vydírání, kterou tato firma sleduje přinejmenším od října 2025 pod názvem Cordial Spider.

Swatting jako nátlakový nástroj

Přes označení „Cordial Spider“ (přátelský pavouk) nejsou taktiky skupiny nijak „přátelské“. RH-ISAC upozornilo, že někteří útočníci se uchylují dokonce ke swattingu – tedy falešným nahlášením nebezpečné situace policii – namířenému přímo na zaměstnance, včetně vedoucích pracovníků, aby zvýšili tlak na oběti a donutili je výkupné zaplatit.

Jak útok probíhá

Útočníci kombinují hlasový phishing s podvodnými přihlašovacími stránkami napodobujícími firemní SSO (Single Sign-On) řešení. Tímto způsobem kradou přihlašovací údaje a postupně si otevírají cestu k privilegovaným účtům. Útočníci stahují interní firemní adresáře, aby získali kontaktní informace na vedoucí pracovníky, kompromitací těchto seniorních účtů prostřednictvím dalšího sociálního inženýrství získávají trvalý a plošný přístup do prostředí, který navenek vypadá jako legitimní aktivita vedení.

Rozsah neoprávněného přístupu a krádeže dat je přitom značný: útočníci se pohybují v SaaS prostředích, zneužívají oprávnění Microsoft Graph API, přistupují k Salesforce API, interním repozitářům, SharePoint stránkám a souborům obsahujícím telefonní čísla zaměstnanců i obchodní záznamy.

Pro případ, že oběti na požadavky výkupného nereagují nebo odmítají zaplatit, provozuje BlackFile vlastní web pro únik dat, kde zveřejňuje odcizené informace.

Co dělat

Ja důležité si uvědomit, že v případě těchto útoků, není potřeba prolomit nějakou technickou ochranu – postačí zmanipulovat jediného člověka.

RH-ISAC proto doporučuje zavést vícefázové ověřování identity volajících v procesech IT podpory a striktně omezit rozsah akcí, které může helpdesk provést v rámci jediného telefonního hovoru bez eskalace na management.

Průběžná a konzistentní aktivita skupiny BlackFile od února potvrzuje, že jde o dlouhodobou, cílenou hrozbu – nikoli jednorázovou vlnu útoků. Firmy v retailu, pohostinství, logistice i dalších odvětvích by měly přehodnotit své procesy pro ověřování identity interních volajících a posílit povědomí zaměstnanců o technikách hlasového phishingu.

Děsivou součástí těchto útoků je také jejich přenositelnost a škálovatelnost – díky AI překladům v reálném čase je možné tento typ útoků provádět prakticky odkudkoliv a cílit na kohokoliv na světě.

Zdroj: cyberscoop.com

Zdroj ilustračního obrázku: Vygenerováno pomocí AI