O **BlackFile**, também rastreado como CL-CRI-1116, UNC6671 e Cordial Spider, está empregando táticas cada vez mais sofisticadas para comprometer organizações, de acordo com um relatório compartilhado pela Unit 42 da **Palo Alto Networks** com o Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC). Pesquisadores da Unit 42 também ligaram tentativamente o **BlackFile** a "The Com", uma rede de cibercriminosos conhecida por alvejar e recrutar jovens para atividades ilícitas. **Ataques Começam com Vishing** Os ataques do grupo geralmente começam com chamadas telefônicas para funcionários, usando números falsificados para se passar pelo suporte de TI. Esses atores de ameaça atraem os funcionários para páginas de login corporativas falsas, solicitando que insiram suas credenciais e senhas de uso único. "Os atacantes por trás do CL-CRI-1116 usam phishing baseado em voz (vishing) de números VoIP falsificados ou Nomes de Identificação de Chamada (CNAM) fraudulentos como uma técnica de engenharia social, geralmente se passando por pessoal de suporte de TI", afirmou o RH-ISAC em seu relatório. "Podemos confirmar que estamos vendo um aumento significativo em casos do Blackfile e que as TTPs parecem ser muito semelhantes a grupos como **ShinyHunters** e SLSH e cópias semelhantes que empregam táticas de exploração de dados de vishing/engenharia social", disse o fundador e CEO da CyberSteward, **Jason S.T. Kotler**, ao BleepingComputer. **Contornando MFA e Escalando Privilégios** Usando credenciais roubadas, os atacantes do **BlackFile** registram seus próprios dispositivos para contornar a autenticação multifator (MFA). Em seguida, eles escalam o acesso para contas de nível executivo raspando diretórios internos de funcionários. **Exfiltração de Dados e Extorsão** O **BlackFile** rouba dados dos servidores **Salesforce** e **SharePoint** das vítimas usando funções de API padrão, visando especificamente arquivos que contêm informações confidenciais como "confidencial" e "SSN". Os documentos exfiltrados são baixados para servidores controlados pelos atacantes e publicados no site de vazamento de dados da gangue na dark web antes que as exigências de resgate sejam emitidas por meio de contas de e-mail de funcionários comprometidas ou endereços **Gmail** gerados aleatoriamente.  "Ao alavancar o acesso à API do **Salesforce** e as funções de download padrão do **SharePoint**, os atacantes movem grandes volumes de dados – incluindo conjuntos de dados CSV de números de telefone de funcionários e relatórios comerciais confidenciais – para a infraestrutura controlada pelos atacantes", acrescentou o RH-ISAC. "Isso é frequentemente feito sob o disfarce de sessões legítimas autenticadas por SSO para evitar disparar alertas simples de user-agent." **Tentativas de Swatting** Funcionários de empresas comprometidas, incluindo executivos seniores, também foram alvo de tentativas de swatting. Essa tática envolve fazer chamadas de emergência falsas para os serviços de emergência para exercer pressão adicional sobre as vítimas. A **Mandiant** também confirmou que está respondendo ativamente a vários incidentes de vishing que levaram a roubo de dados e extorsão, incluindo um que usou um site de envergonhamento de vítimas do **BlackFile** (agora offline). **Estratégias de Mitigação** Para mitigar o sucesso dos ataques do **BlackFile**, o RH-ISAC recomenda que as organizações: * Fortaleçam suas políticas de atendimento de chamadas. * Exijam verificação de identidade multifator para os chamadores. * Conduzam treinamento de engenharia social baseado em simulações para a equipe de linha de frente.