新しいBlackFile恐喝グループ、フィッシング攻撃の急増に関連

BlackFileとして追跡されている新しい金銭目的のハッキング集団が、2026年2月以降、小売・ホスピタリティ業界の組織に対するデータ盗難と恐喝攻撃の波に関連していることが判明しました。

CL-CRI-1116、UNC6671、およびCordial Spiderとしても追跡されているこのグループは、従業員の認証情報を盗むために企業のIT ヘルプデスク職員になりすまし、7桁の身代金を要求しています。これはサイバーセキュリティ企業Palo Alto Networksの部門Unit 42が小売・ホスピタリティ情報共有分析センター（RH-ISAC）と共有した情報によるものです。

Unit 42のセキュリティ研究者はまた、中程度の信頼度でBlackFileを「The Com」に関連付けており、これは若い人々をターゲットにし、恐喝、暴力、児童性的搾取資料（CSAM）の製造に勧誘することで知られている英語圏のサイバー犯罪者の緩い組織です。

木曜日の報告書で、RH-ISACは、グループの攻撃が従業員への電話から始まると述べています。脅迫者はなりすましの番号から発信し、IT サポートのふりをして、認証情報とワンタイムパスコードを入力するよう従業員を誘う偽の企業ログインページに誘導します。

「CL-CRI-1116の攻撃者は、なりすましたVoIP番号または詐欺的な発信者ID名（CNAM）から音声ベースのフィッシング（vishing）を使用して、通常はIT サポートスタッフのふりをして、ソーシャルエンジニアリング手法として機能します」とRH-ISACは述べました。

「私たちはBlackfileの案件が大幅に増加していることを確認でき、TTPs（戦術・技法・手順）はShinyHuntersやSLSHなどのグループおよび同様のコピーキャットがvishing/ソーシャルエンジニアリングデータ搾取戦術を採用しているように見えます」と、CyberStewardの創業者兼CEOであるJason S.T. Kotlerもbleepingcomputerに語りました。

盗んだ認証情報を使用して、BlackFile攻撃者は多要素認証をバイパスするために独自のデバイスを登録し、その後、内部従業員ディレクトリをスクレイピングして、エグゼクティブレベルのアカウントへのアクセスを昇格させます。

BlackFileは被害者のSalesforceおよびSharePointサーバから標準的なAPI機能を使用してデータを盗みます。特に「Confidential」および「SSN」などの用語を含むファイルを検索します。

流出した文書は攻撃者が管理するサーバにダウンロードされ、犯罪集団のダークウェブデータ漏洩サイトに公開されてから、被害者は侵害された従業員メールアカウントまたはランダムに生成されたGmailアドレスを介して身代金要求に関する連絡を受けます。

「Salesforce APIアクセスと標準的なSharePointダウンロード機能を活用して、攻撃者は従業員の電話番号のCSVデータセットと機密ビジネスレポートを含む大量のデータを攻撃者が管理するインフラストラクチャに移動させます」とRH-ISACは追加しました。

「これは多くの場合、単純なユーザーエージェントアラートのトリガーを回避するために、正当なSSO認証されたセッションの装いで行われます。」

侵害された企業の従業員（上級管理職を含む）も、対応者への虚偽の緊急通報を行うswatting試験のターゲットになっています。攻撃者はこの戦術を使用して、犯罪者に対する追加の圧力をかけることがよくあります。

Mandiantはまた、データ盗難と恐喝につながった複数のvishing事件に積極的に対応していることをbleepingcomputerに語りました。その中には、オフラインになっているBlackFile被害者シェーミングサイトを使用したものも含まれます。

BlackFileの攻撃の成功率を低減するために、RH-ISACは、組織が通話処理ポリシーを強化し、発信者に対する多要素ID検証を適用し、最前線スタッフに対してシミュレーションベースのソーシャルエンジニアリング訓練を実施することを推奨しています。