Um novo grupo hacker motivado financeiramente, identificado como BlackFile, foi associado a uma onda de ataques de roubo de dados e extorsão contra organizações dos setores de varejo e hotelaria desde fevereiro de 2026.
O grupo, também monitorado como CL-CRI-1116, UNC6671 e Cordial Spider, vem se passando por funcionários do suporte de TI corporativo para roubar credenciais de empregados e exigir resgates de sete dígitos, segundo informações compartilhadas pela empresa de cibersegurança Palo Alto Networks, por meio da Unit 42, com o RH-ISAC, centro de compartilhamento e análise de informações do setor de varejo e hotelaria.
Pesquisadores de segurança da Unit 42 também relacionaram o BlackFile, com confiança moderada, ao “The Com”, uma rede informal de cibercriminosos de língua inglesa conhecida por aliciar jovens para extorsão, violência e produção de material de exploração sexual infantil, conhecido pela sigla CSAM.
Em um relatório divulgado na quinta-feira, o RH-ISAC informou que os ataques do grupo começam com ligações telefônicas para funcionários a partir de números falsificados, nas quais os threat actors se passam por suporte de TI para induzir as vítimas a acessar páginas falsas de login corporativo e inserir suas credenciais e códigos de uso único.
“Os atacantes por trás do CL-CRI-1116 usam phishing por voz, conhecido como vishing, a partir de números falsificados de Voice over Internet Protocol, ou VoIP, ou de nomes fraudulentos de identificação de chamadas, como técnica de engenharia social, geralmente se passando por pessoal de suporte de TI”, afirmou o RH-ISAC.
“Podemos confirmar que estamos observando um aumento significativo em casos relacionados ao BlackFile e que as TTPs parecem ser muito semelhantes às de grupos como ShinyHunters e SLSH, além de outros imitadores que empregam táticas de vishing, engenharia social e exploração de dados”, disse Jason S.T.
Kotler, fundador e CEO da CyberSteward.
Com as credenciais roubadas, os atacantes do BlackFile registram seus próprios dispositivos para contornar a autenticação multifator e, em seguida, ampliam o acesso até contas de nível executivo ao vasculhar diretórios internos de funcionários.
O BlackFile rouba dados das vítimas em servidores do Salesforce e do SharePoint usando funções padrão da API, com foco específico em arquivos que contenham termos como “confidencial” e “SSN”.
Os documentos extraídos são baixados para servidores controlados pelos atacantes e publicados no site de vazamento de dados do grupo na dark web, antes que as vítimas sejam contatadas com exigências de resgate por meio de contas de email comprometidas de funcionários ou endereços do Gmail gerados aleatoriamente.
“Ao explorar o acesso via API do Salesforce e funções padrão de download do SharePoint, os atacantes movem grandes volumes de dados, incluindo conjuntos CSV com números de telefone de funcionários e relatórios empresariais confidenciais, para uma infraestrutura controlada pelos atacantes”, acrescentou o RH-ISAC.
“Isso costuma ser feito sob a aparência de sessões legítimas autenticadas por SSO para evitar disparar alertas simples de user-agent.”
Funcionários de empresas comprometidas, incluindo executivos de alto escalão, também têm sido alvo de tentativas de swatting, prática que envolve fazer falsas ligações de emergência para os serviços de resposta.
Os atacantes costumam usar essa tática para ampliar a pressão sobre as vítimas.
A Mandiant também informou que está respondendo ativamente a vários incidentes de vishing que resultaram em roubo de dados e extorsão, incluindo um caso que usou um site de exposição e humilhação de vítimas ligado ao BlackFile, que agora está fora do ar.
Para reduzir a taxa de sucesso dos ataques do BlackFile, o RH-ISAC recomenda que as organizações reforcem suas políticas de atendimento telefônico, exijam verificação multifator de identidade para quem liga e realizem treinamentos de engenharia social baseados em simulação para as equipes da linha de frente.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...