Cyberkriminelle nutzen BlackFile für Erpressung im Einzelhandel und Gastgewerbe

Eine aktuelle Warnung von Sicherheitsforschern zeigt, dass die Erpressergruppe BlackFile weiterhin gezielt Unternehmen im Einzelhandel und Gastgewerbe angreift. Die Angriffe, die seit Februar 2025 dokumentiert sind, zielen darauf ab, sensible Daten zu stehlen und hohe Lösegeldzahlungen zu erpressen.

Zusammenhang mit The Com und weitere Bezeichnungen

Laut den Erkenntnissen von Unit 42, einem Forschungsarm von Palo Alto Networks, steht BlackFile vermutlich in Verbindung mit der Gruppe The Com. Die Täter werden auch unter den Bezeichnungen CL-CRI-1116, UNC6671 und Cordial Spider geführt. Ihre Kampagne richtet sich gegen verschiedene Branchen, wobei der Fokus aktuell auf Einzelhandel und Gastgewerbe liegt.

Ziel: Hohe Lösegeldforderungen und psychologische Druckmittel

Matt Brady, Senior Principal Researcher bei Unit 42, erklärt:

"Das Hauptziel der Angreifer besteht darin, Unternehmen durch massive Lösegeldforderungen unter Druck zu setzen – typischerweise im siebenstelligen Bereich."

Neben klassischen Erpressungsmethoden setzen die Täter auf Swatting, um gezielt Führungskräfte einzuschüchtern und die Opfer zur Zahlung zu bewegen. Dabei werden falsche Notrufe getätigt, um Einsatzkräfte an die Adresse der Betroffenen zu schicken.

Angriffsmethoden: Voice-Phishing und gefälschte Anmeldeseiten

BlackFile nutzt vor allem zwei Methoden, um an Zugangsdaten zu gelangen:

• Voice-Phishing: Die Angreifer geben sich als IT-Support-Mitarbeiter aus und versuchen, Opfer am Telefon zur Preisgabe von Zugangsdaten zu bewegen.
• Gefälschte Anmeldeseiten: Die Täter erstellen Phishing-Seiten, die legitimen Single-Sign-On-Diensten ähneln, um Benutzername und Passwort abzugreifen.

Sobald die Angreifer Zugriff auf ein Konto haben, durchsuchen sie interne Mitarbeiterverzeichnisse, um Kontaktlisten von Führungskräften zu erhalten. Durch weitere Social-Engineering-Angriffe kompromittieren sie dann hochprivilegierte Konten und erhalten so dauerhaften Zugriff auf sensible Unternehmensdaten.

Ausmaß der Datendiebstähle und Erpressung

Die Gruppe stiehlt nicht nur Daten, sondern nutzt diese auch für gezielte Erpressungen. Laut Unit 24 betreibt BlackFile eine Daten-Leak-Seite, auf der sie Opfer öffentlich bloßstellen, die nicht auf ihre Forderungen eingehen. Die gestohlenen Daten umfassen:

• Zugangsdaten zu SaaS-Umgebungen
• Berechtigungen für Microsoft Graph API und Salesforce API
• Interne Repositories und SharePoint-Seiten
• Datenbanken mit Mitarbeitertelefonnummern und Geschäftsunterlagen

Empfehlungen für betroffene Unternehmen

Um sich gegen solche Angriffe zu schützen, rät das Retail Hospitality Information Sharing and Analysis Center (RH-ISAC) Unternehmen zu folgenden Maßnahmen:

• Multi-Faktor-Authentifizierung (MFA) für Anrufe: Überprüfung der Identität von Anrufern, die sich als IT-Support ausgeben.
• Eskalationspflicht bei IT-Support-Anfragen: Keine sensiblen Aktionen ohne zusätzliche Freigabe durch das Management.
• Schulung der Mitarbeiter: Sensibilisierung für Social-Engineering-Angriffe und Phishing-Methoden.

Die Aktivitäten von BlackFile überschneiden sich mit einer seit Oktober 2025 bekannten Kampagne, die von CrowdStrike unter dem Namen Cordial Spider verfolgt wird. Die Täter bleiben weiterhin aktiv, weshalb Unternehmen in den betroffenen Branchen besonders wachsam sein sollten.