Cybercriminelen van BlackFile chanteren bedrijven in retail en horeca met gestolen data

BlackFile zet retail en horeca onder druk met data-extorsie

Een cybercriminelen groep genaamd BlackFile blijft bedrijven in de retail- en horecasector chanteren door zich voor te doen als IT-supportmedewerkers. Volgens onderzoekers van Palo Alto Networks’ Unit 42 voeren ze sinds februari actief voice-phishing en social engineering aanvallen uit. De groep richt zich op organisaties in meerdere sectoren, waaronder gezondheidszorg, technologie en logistiek.

Doel: hoge losgelden afdwingen

De kern van de aanval is het onder druk zetten van slachtoffers om hoge losgelden te betalen, vaak in de zeven cijfers. Matt Brady, senior principal researcher bij Unit 42, benadrukt dat de groep opportunistisch te werk gaat en nog steeds actief is. Hoewel het exacte aantal getroffen organisaties niet bekend is, blijft de dreiging groeien.

Tactieken: van phishing tot swatting

BlackFile gebruikt verschillende methoden om toegang te krijgen tot bedrijfsgegevens:

• Voice-phishing: Medewerkers worden gebeld met nep-IT-supportverzoeken.
• Phishingpagina’s: Nep inlogpagina’s van bedrijven worden gebruikt om inloggegevens te stelen.
• Swatting: Sommige aanvallers voeren zelfs swatting-acties uit tegen leidinggevenden om de druk op te voeren.

Eenmaal toegang hebben verkregen, doorzoeken de criminelen interne directories om contactgegevens van executives te achterhalen. Vervolgens compromitteren ze deze accounts via verdere social engineering om brede toegang tot het bedrijfsnetwerk te krijgen.

Gestolen gegevens als chantagemiddel

De groep richt zich op verschillende systemen, waaronder:

• SaaS-omgevingen
• Microsoft Graph API-rechten
• Salesforce API-toegang
• Interne repositories en SharePoint-sites
• Datasets met telefoonnummers en bedrijfsgegevens van medewerkers

Als slachtoffers weigeren te betalen, dreigen de criminelen met het publiceren van gestolen gegevens op een data-leaksite.

Advies van experts

Het Retail Hospitality Information Sharing and Analysis Center (RH-ISAC) raadt bedrijven aan om:

• Meervoudige verificatie voor bellers in te stellen.
• IT-supportacties te beperken tot acties die zonder escalatie kunnen worden uitgevoerd.

Unit 42 heeft sinds februari een constante activiteit van BlackFile waargenomen. De groep wordt ook gevolgd onder namen als CL-CRI-1116, UNC6671 en Cordial Spider.

Breder cyberdreigingslandschap

De aanvallen van BlackFile maken deel uit van een grotere golf van voice-phishing campagnes die in januari werden gemeld door Google Threat Intelligence Group en Okta. Daarnaast overlapt de activiteit van BlackFile met een data-extorsiecampagne die CrowdStrike sinds oktober 2025 volgt.

«Deze aanvallers zijn allesbehalve vriendelijk. Ze gebruiken alle mogelijke middelen om slachtoffers onder druk te zetten.» – RH-ISAC