**BlackFile**, también rastreado como CL-CRI-1116, UNC6671 y Cordial Spider, está empleando tácticas cada vez más sofisticadas para comprometer organizaciones, según un informe compartido por Unit 42 de **Palo Alto Networks** con el Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC). Los investigadores de Unit 42 también han vinculado tentativamente a **BlackFile** con "The Com", una red de cibercriminales conocida por atacar y reclutar a jóvenes para actividades ilícitas. **Los ataques comienzan con vishing** Los ataques del grupo suelen comenzar con llamadas telefónicas a los empleados, utilizando números falsificados para hacerse pasar por soporte de TI. Estos actores de amenazas atraen al personal a páginas de inicio de sesión corporativas falsas, instándolos a ingresar sus credenciales y contraseñas de un solo uso. "Los atacantes detrás de CL-CRI-1116 utilizan el phishing basado en voz (vishing) desde números falsificados de Voice over Internet Protocol (VoIP) o nombres de identificador de llamadas fraudulentos (CNAM) como técnica de ingeniería social, haciéndose pasar típicamente por personal de soporte de TI", declaró RH-ISAC en su informe. "Podemos confirmar que estamos viendo un aumento significativo en los casos de Blackfile y que las TTP parecen ser muy similares a las de grupos como **ShinyHunters** y SLSH, y otros imitadores que emplean tácticas de explotación de datos mediante vishing/ingeniería social", dijo a BleepingComputer **Jason S.T. Kotler**, fundador y CEO de CyberSteward. **Evadiendo MFA y escalando privilegios** Utilizando las credenciales robadas, los atacantes de **BlackFile** registran sus propios dispositivos para evadir la autenticación multifactor (MFA). Luego, escalan el acceso a cuentas de nivel ejecutivo mediante el raspado de directorios internos de empleados. **Exfiltración de datos y extorsión** **BlackFile** roba datos de los servidores **Salesforce** y **SharePoint** de las víctimas utilizando funciones estándar de API, apuntando específicamente a archivos que contienen información sensible como "confidencial" y "SSN". Los documentos exfiltrados se descargan en servidores controlados por los atacantes y se publican en el sitio de filtración de datos de la banda en la dark web antes de que se emitan las demandas de rescate a través de cuentas de correo electrónico de empleados comprometidas o direcciones **Gmail** generadas aleatoriamente.  "Al aprovechar el acceso a la API de **Salesforce** y las funciones de descarga estándar de **SharePoint**, los atacantes mueven grandes volúmenes de datos, incluidos conjuntos de datos CSV de números de teléfono de empleados e informes comerciales confidenciales, a infraestructura controlada por los atacantes", agregó RH-ISAC. "Esto a menudo se hace bajo el pretexto de sesiones legítimas autenticadas por SSO para evitar activar alertas simples de agente de usuario." **Intentos de swatting** Los empleados de las empresas comprometidas, incluidos altos ejecutivos, también han sido blanco de intentos de swatting. Esta táctica implica realizar llamadas de emergencia falsas a los servicios de emergencia para ejercer presión adicional sobre las víctimas. **Mandiant** también ha confirmado que están respondiendo activamente a varios incidentes de vishing que llevaron al robo de datos y la extorsión, incluido uno que utilizó un sitio de humillación de víctimas de **BlackFile** (ahora fuera de línea). **Estrategias de mitigación** Para mitigar el éxito de los ataques de **BlackFile**, RH-ISAC recomienda que las organizaciones: * Refuercen sus políticas de gestión de llamadas. * Apliquen verificación de identidad multifactor para los llamantes. * Realicen capacitación de ingeniería social basada en simulaciones para el personal de primera línea.