Farlig ny svindelbølge: BlackFile presser bedrifter til å betale millionbeløp

Cyberkriminelle presser ofre med falsk IT-support

En farlig cyberkriminell gruppe kalt BlackFile har intensivert angrepene mot bedrifter i detaljhandel og hotellbransjen siden februar. Gruppen gjennomfører stemmefiske (vishing) og sosial manipulering for å stjele data og presse ofre til å betale millionbeløp i løsepenger.

Angrepene er en del av større trusselbølge

Ifølge sikkerhetseksperter fra Unit 42 ved Palo Alto Networks er BlackFile aktivt involvert i en pågående kampanje som rammer flere bransjer, inkludert helsevesen, teknologi, transport og logistikk. Gruppen er også kjent under navnene CL-CRI-1116, UNC6671 og Cordial Spider.

Matt Brady, seniorforsker hos Unit 42, forklarer at gruppens hovedmål er å presse bedrifter til å betale store løsepenger, ofte i sju-sifrede beløp.

Metoder og taktikker

BlackFile bruker avanserte metoder for å infiltrere bedrifter:

• Stemmefiske: Angriperne utgir seg for å være IT-support og kontakter ofre via telefon for å stjele legitimering.
• Falske innloggingssider: De oppretter phishing-sider som etterligner bedriftenes single-sign-on-løsninger for å kapre brukernavn og passord.
• Sosial manipulering: Gruppen henter informasjon fra interne ansattlister for å kontakte ledere direkte og øke presset.
• Swatting: Noen angripere har utført falske politianmeldelser (swatting) mot bedriftsledere for å øke frykten og presset.

Når angriperne har fått tilgang til privilegerte kontoer, skaffer de seg bred tilgang til bedriftens systemer, inkludert:

• SaaS-miljøer
• Microsoft Graph API-rettigheter
• Salesforce API-tilgang
• Interne datalager (SharePoint, repositories)
• Personopplysninger og forretningsdata

Data-utpressingsnettsted

BlackFile har opprettet en nettside for datautpressing der de offentliggjør informasjon fra ofre som ikke har betalt løsepenger. Gruppen truer med å lekke sensitive data dersom kravene ikke oppfylles.

Hvordan bedrifter kan beskytte seg

Sikkerhetsorganisasjonen RH-ISAC anbefaler følgende tiltak for å redusere risikoen:

• Styrk identitetsverifisering: Krev flerfaktorautentisering (MFA) for alle samtaler som utgir seg for å være IT-support.
• Begrens IT-support-tilgang: Begrens hvilke handlinger som kan utføres i én samtale uten ytterligere godkjenning.
• Overvåk uvanlig aktivitet: Vær spesielt oppmerksom på uventede endringer i API-rettigheter eller tilgang til sensitive systemer.

En pågående trussel

Unit 42 har observert jevn aktivitet fra BlackFile siden februar, og ekspertene frykter at angrepene vil fortsette å eskalere. Gruppen opererer i skyggen av en større trusselbølge som også omfatter andre cyberkriminelle grupper, noe Google Threat Intelligence Group og Okta varslet om tidligere i år.

Frem til videre har Unit 42 ikke oppgitt antall rammede bedrifter, og RH-ISAC har ikke besvart forespørsel om kommentar.