Grupo BlackFile extorque vítimas de roubo de dados no setor de varejo e hotelaria

Um grupo de extorsão conhecido como BlackFile, possivelmente associado à The Com, segue aplicando ataques de voice-phishing e engenharia social contra empresas de diversos setores, incluindo varejo e hotelaria. Segundo a inteligência mais recente da Unit 42, da Palo Alto Networks, a campanha está ativa desde fevereiro e já impactou organizações nos Estados Unidos e na Europa.

A ameaça, também rastreada como CL-CRI-1116, UNC6671 e Cordial Spider, tem como objetivo principal pressionar as vítimas a pagar resgates milionários, geralmente na casa dos sete dígitos, conforme afirmou Matt Brady, pesquisador sênior da Unit 42, ao CyberScoop.

Táticas agressivas e acesso prolongado

Os ataques do BlackFile incluem roubo de credenciais por meio de páginas falsas de login único (SSO) e ligações fraudulentas que imitam o suporte de TI. Os criminosos também infiltram diretórios internos para obter listas de contatos de executivos e, posteriormente, comprometem contas privilegiadas.

De acordo com o Retail Hospitality Information Sharing and Analysis Center (RH-ISAC), alguns invasores chegaram a realizar swatting contra funcionários e executivos das empresas-alvo, aumentando a pressão para o pagamento do resgate.

"Eles coletam diretórios internos de funcionários para obter listas de contatos de executivos. Ao comprometer essas contas seniores por meio de engenharia social adicional, eles ganham acesso persistente e amplo ao ambiente, simulando atividades legítimas de sessões executivas."

Alvos e métodos de extorsão

O BlackFile tem como alvo ambientes SaaS, permissões da Microsoft Graph API, acesso à Salesforce API, repositórios internos, sites do SharePoint e conjuntos de dados contendo registros comerciais e números de telefone de funcionários. Além disso, o grupo criou um site de vazamento de dados para extorquir vítimas que não atenderam às suas exigências.

A campanha se alinha a um movimento mais amplo de ataques de voice-phishing identificados por grupos de cibercrime, alertados em janeiro pelo Google Threat Intelligence Group e pela Okta.

Recomendações de segurança

O RH-ISAC recomenda que as empresas implementem verificação de identidade multifator para chamadas e limitem as ações de suporte de TI que podem ser realizadas em uma única ligação, sem escalonamento para a gestão. A Unit 42 observou atividade consistente do grupo desde fevereiro, indicando que a campanha permanece em andamento.