**BlackFile**, également connu sous les noms de CL-CRI-1116, UNC6671 et Cordial Spider, emploie des tactiques de plus en plus sophistiquées pour compromettre les organisations, selon un rapport partagé par Unit 42 de **Palo Alto Networks** avec le Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC). Les chercheurs de Unit 42 ont également établi un lien provisoire entre **BlackFile** et "The Com", un réseau de cybercriminels connu pour cibler et recruter de jeunes individus pour des activités illicites. **Les attaques commencent par le vishing** Les attaques du groupe commencent généralement par des appels téléphoniques aux employés, utilisant des numéros usurpés pour se faire passer pour le support informatique. Ces acteurs de la menace attirent le personnel vers de fausses pages de connexion d'entreprise, les incitant à saisir leurs identifiants et leurs codes d'authentification uniques. "Les attaquants derrière CL-CRI-1116 utilisent le phishing vocal (vishing) à partir de numéros Voice over Internet Protocol (VoIP) usurpés ou de noms d'appelant frauduleux (CNAM) comme technique d'ingénierie sociale, se faisant généralement passer pour le personnel du support informatique", a déclaré RH-ISAC dans son rapport. "Nous pouvons confirmer que nous constatons une augmentation significative des affaires liées à Blackfile et que les TTP semblent être très similaires à ceux de groupes tels que **ShinyHunters** et SLSH, ainsi qu'à des imitateurs similaires employant des tactiques d'exploitation de données par vishing/ingénierie sociale", a déclaré **Jason S.T. Kotler**, fondateur et PDG de CyberSteward, à BleepingComputer. **Contournement de l'authentification multifacteur et escalade des privilèges** À l'aide des identifiants volés, les attaquants de **BlackFile** enregistrent leurs propres appareils pour contourner l'authentification multifacteur (MFA). Ils escaladent ensuite l'accès aux comptes de niveau exécutif en parcourant les annuaires internes des employés. **Exfiltration de données et extorsion** **BlackFile** vole des données sur les serveurs **Salesforce** et **SharePoint** des victimes en utilisant des fonctions API standard, ciblant spécifiquement les fichiers contenant des informations sensibles telles que "confidential" et "SSN". Les documents exfiltrés sont téléchargés sur des serveurs contrôlés par les attaquants et publiés sur le site de fuite de données du gang sur le dark web avant que les demandes de rançon ne soient émises via des comptes de messagerie d'employés compromis ou des adresses **Gmail** générées aléatoirement.  "En tirant parti de l'accès API **Salesforce** et des fonctions de téléchargement **SharePoint** standard, les attaquants déplacent de grands volumes de données – y compris des ensembles de données CSV de numéros de téléphone d'employés et des rapports commerciaux confidentiels – vers une infrastructure contrôlée par les attaquants", a ajouté RH-ISAC. "Cela est souvent fait sous couvert de sessions légitimes authentifiées par SSO afin d'éviter de déclencher de simples alertes d'agent utilisateur." **Tentatives de swatting** Les employés des entreprises compromises, y compris les cadres supérieurs, ont également été ciblés par des tentatives de swatting. Cette tactique consiste à faire de faux appels d'urgence aux services d'urgence pour exercer une pression supplémentaire sur les victimes. **Mandiant** a également confirmé qu'ils réagissent activement à plusieurs incidents de vishing ayant entraîné des vols de données et des extorsions, y compris un qui utilisait un site de honte de victimes **BlackFile** (maintenant hors ligne). **Stratégies d'atténuation** Pour atténuer le succès des attaques de **BlackFile**, RH-ISAC recommande aux organisations de : * Renforcer leurs politiques de gestion des appels. * Appliquer une vérification d'identité multifacteur pour les appelants. * Mener des formations d'ingénierie sociale basées sur des simulations pour le personnel de première ligne.