**BlackFile**, auch bekannt als CL-CRI-1116, UNC6671 und Cordial Spider, setzt laut einem Bericht von **Palo Alto Networks'** Unit 42, der dem Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) zur Verfügung gestellt wurde, zunehmend ausgefeilte Taktiken ein, um Organisationen zu kompromittieren. Die Forscher von Unit 42 haben **BlackFile** auch vorläufig mit „The Com“ in Verbindung gebracht, einem Netzwerk von Cyberkriminellen, das dafür bekannt ist, junge Menschen für illegale Aktivitäten anzuwerben und zu rekrutieren. **Angriffe beginnen mit Vishing** Die Angriffe der Gruppe beginnen typischerweise mit Anrufen bei Mitarbeitern, wobei gefälschte Nummern verwendet werden, um sich als IT-Support auszugeben. Diese Bedrohungsakteure locken Mitarbeiter auf gefälschte Unternehmens-Login-Seiten, wo sie aufgefordert werden, ihre Anmeldedaten und Einmalpasswörter einzugeben. „Die Angreifer hinter CL-CRI-1116 nutzen Voice-based Phishing (Vishing) von gefälschten Voice over Internet Protocol (VoIP)-Nummern oder betrügerischen Caller ID Names (CNAM) als Social-Engineering-Technik, wobei sie sich typischerweise als IT-Support-Mitarbeiter ausgeben“, heißt es in dem Bericht des RH-ISAC. „Wir können bestätigen, dass wir eine signifikante Zunahme von Blackfile-Fällen verzeichnen und dass die TTPs sehr ähnlich zu denen von Gruppen wie **ShinyHunters** und SLSH sowie ähnlichen Nachahmern sind, die Vishing/Social-Engineering-Daten-Exploit-Taktiken anwenden“, sagte **Jason S.T. Kotler**, Gründer und CEO von CyberSteward, gegenüber BleepingComputer. **Umgehung von MFA und Eskalation von Berechtigungen** Mit gestohlenen Anmeldedaten registrieren **BlackFile**-Angreifer ihre eigenen Geräte, um Multi-Faktor-Authentifizierung (MFA) zu umgehen. Anschließend eskalieren sie den Zugriff auf Konten auf Führungsebene, indem sie interne Mitarbeiterverzeichnisse durchsuchen. **Datendiebstahl und Erpressung** **BlackFile** stiehlt Daten von den **Salesforce**- und **SharePoint**-Servern der Opfer unter Verwendung von Standard-API-Funktionen und zielt insbesondere auf Dateien ab, die sensible Informationen wie „confidential“ und „SSN“ enthalten. Die exfiltrierten Dokumente werden auf von Angreifern kontrollierte Server heruntergeladen und auf der Dark-Web-Datenleckseite der Bande veröffentlicht, bevor Lösegeldforderungen über kompromittierte E-Mail-Konten von Mitarbeitern oder zufällig generierte **Gmail**-Adressen versendet werden.  „Durch die Nutzung des **Salesforce** API-Zugangs und der Standard-**SharePoint**-Download-Funktionen übertragen die Angreifer große Datenmengen – einschließlich CSV-Datensätze von Telefonnummern von Mitarbeitern und vertraulichen Geschäftsberichten – auf von Angreifern kontrollierte Infrastrukturen“, fügte RH-ISAC hinzu. „Dies geschieht oft unter dem Deckmantel legitimer SSO-authentifizierter Sitzungen, um einfache User-Agent-Warnungen zu vermeiden.“ **Swatting-Versuche** Mitarbeiter kompromittierter Unternehmen, darunter auch leitende Angestellte, wurden auch mit Swatting-Versuchen ins Visier genommen. Diese Taktik beinhaltet das Tätigen falscher Notrufe bei Notfalldiensten, um zusätzlichen Druck auf die Opfer auszuüben. **Mandiant** hat ebenfalls bestätigt, dass sie aktiv auf mehrere Vishing-Vorfälle reagieren, die zu Datendiebstahl und Erpressung geführt haben, darunter auch einer, der eine **BlackFile**-Opfer-Beschimpfungs-Seite (jetzt offline) nutzte. **Abhilfemaßnahmen** Um den Erfolg der **BlackFile**-Angriffe zu mindern, empfiehlt RH-ISAC Organisationen: * Ihre Richtlinien für die Anrufbearbeitung zu stärken. * Eine Multi-Faktor-Identitätsprüfung für Anrufer durchzusetzen. * Simulationsbasierte Social-Engineering-Schulungen für Mitarbeiter an vorderster Front durchzuführen.