研究者によると、The Comに関連している可能性が高い恐喝グループであるBlackFileは、ボイスフィッシングと社会工学攻撃でIT支援担当者に成りすまし続けており、医療、技術、運輸、物流、卸売、小売など複数の業界の組織に影響を与えています。
Unit 42の最新インテリジェンスによると、攻撃者は2月以来小売業とホスピタリティ業界の組織を積極的に標的にしており、小売・ホスピタリティ情報共有分析センター(RH-ISAC)は木曜日にこのキャンペーンについての侵害指標を公開しました。
Palo Alto Networks’ Unit 42のシニアプリンシパルリサーチャーであるMatt Bradyは、CyberScoopに対し、CL-CRI-1116、UNC6671、Cordial Spiderとしても追跡されている脅威グループは、活動中で継続中のキャンペーンにおいて被害者を日和見的に標的にしているようだと述べました。
「これらの脅威行為者の主な目的は、標的組織に大きな身代金要求(通常7桁の範囲)を支払うよう圧力をかけることです」とBradyは述べました。
Unit 42はこれまでに影響を受けた組織の数を明かすことを拒否し、RH-ISACはコメント要求に応じませんでした。
小売業とホスピタリティセクターの企業に対するBlackFileの攻撃は、複数のサイバー犯罪グループによって開始されたより広範なボイスフィッシング攻撃の波の一部です。これはGoogle脅威インテリジェンスグループとOktaが1月に警告しています。
Unit 42はまた、BlackFileの活動が、CrowdStrikeが少なくとも2025年10月以来Cordial Spiderとして追跡している継続中のデータ盗難および恐喝キャンペーンと重複していることに気づきました。
しかし、脅威グループの戦術は友好的なものとはほど遠いものでした。RH-ISACは、一部の攻撃者が影響力を高め、被害者に身代金要求を支払うよう圧力をかけるために、経営幹部を含む会社の担当者に対してスワッティング攻撃を行ったと述べました。
脅威グループは、ボイスフィッシング攻撃と企業のシングルサインオンサービスを模倣したフィッシングページを使用して、被害者をおびき寄せ、特権アカウントに移動する前に認証情報を盗みます。
「彼らは内部従業員ディレクトリをスクレイプして、経営幹部の連絡先リストを取得します」とRH-ISACはブログ投稿で述べました。「さらなる社会工学によってこれらのシニアアカウントを侵害することにより、合法的なエグゼクティブセッション活動を反映した環境への永続的で広範なアクセスを獲得します。」
グループの不正なアクセスと恐喝活動のためのデータ盗難は、SaaS環境、Microsoft Graph APIアクセス許可、Salesforce APIアクセス、内部リポジトリ、SharePointサイト、および従業員の電話番号とビジネスレコードを含むデータセットにまたがっています。
研究者によると、BlackFileは、その要求を無視したか同意することに失敗したと主張する被害者を恐喝するためのデータリークサイトも作成しました。
Bradyは、Unit 42が2月以来脅威グループからの比較的一貫した活動を観察していると述べました。
RH-ISACは、組織に対し、発信者のための多要素アイデンティティ検証を管理し、管理部門への段階的処理なしに単一の通話で完了できるIT支援アクションを制限することをお勧めします。
翻訳元: https://cyberscoop.com/blackfile-data-theft-extortion-retail-unit-42-rh-isac/
