🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo grupo de hackers com motivação financeira, identificado como BlackFile, está ligado a uma onda de roubo de dados e ataques de extorsão contra organizações de varejo e hotelaria desde fevereiro de 2026.
O grupo, também rastreado como CL-CRI-1116, UNC6671 e Cordial Spider, está se passando por funcionários corporativos de suporte técnico de TI para roubar credenciais de funcionários e exigir resgates de sete dígitos, de acordo com informações compartilhadas pela Unidade 42 da empresa de segurança cibernética Palo Alto Networks com o Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC).
Os pesquisadores de segurança da Unidade 42 também vincularam o BlackFile com confiança moderada ao “The Com”, uma rede frouxa de cibercriminosos de língua inglesa conhecida por atacar e recrutar jovens para extorsão, violência e produção de material de exploração sexual infantil (CSAM).
Em um relatório de quinta-feira, o RH-ISAC disse que os ataques do grupo começam com ligações para funcionários de números falsificados, nos quais os atores da ameaça se apresentam como suporte de TI para atrair funcionários para páginas de login corporativas falsas que lhes pedem para inserir suas credenciais e senhas de uso único.
“Os invasores por trás do CL-CRI-1116 usam phishing (vishing) baseado em voz de números falsificados de protocolo de voz sobre Internet (VoIP) ou nomes de identificação de chamadas fraudulentos (CNAM) como técnica de engenharia social, normalmente se passando por equipe de suporte de TI”, disse RH-ISAC.
"Podemos confirmar que estamos vendo um aumento significativo nos assuntos do Blackfile e que os TTPs parecem ser muito semelhantes a grupos como ShinyHunters e SLSH e imitadores semelhantes que empregam táticas de exploração de dados de vishing/engenharia social", o fundador e CEO da CyberSteward, Jason S.T. Kotler também disse ao BleepingComputer.
Usando credenciais roubadas, os invasores do BlackFile registram seus próprios dispositivos para contornar a autenticação multifator e, em seguida, aumentam o acesso a contas de nível executivo, coletando diretórios internos de funcionários.
BlackFile rouba dados dos servidores Salesforce e SharePoint das vítimas usando funções de API padrão, procurando especificamente por arquivos contendo termos como “confidencial” e “SSN”.
Os documentos exfiltrados são baixados para servidores controlados pelo invasor e publicados no site de vazamento de dados da dark web da gangue antes que as vítimas sejam contatadas com pedidos de resgate por meio de contas de e-mail de funcionários comprometidas ou endereços do Gmail gerados aleatoriamente.
Site de vazamento de dados BlackFile (RH-ISAC)
“Ao aproveitar o acesso à API do Salesforce e as funções de download padrão do SharePoint, os invasores movem grandes volumes de dados – incluindo conjuntos de dados CSV de números de telefone de funcionários e relatórios comerciais confidenciais – para infraestrutura controlada pelo invasor”, acrescentou RH-ISAC.
“Isso geralmente é feito sob o pretexto de sessões legítimas autenticadas por SSO para evitar o acionamento de alertas simples de agente de usuário”.
Funcionários de empresas comprometidas (incluindo executivos seniores) também têm sido alvo de tentativas de golpe, que envolvem chamadas de emergência falsas para socorristas. Os invasores costumam usar essa tática para exercer pressão adicional sobre suas vítimas.
Mandiant também disse ao BleepingComputer que eles estão respondendo ativamente a vários incidentes de vishing que levaram ao roubo e extorsão de dados, incluindo um que usou um site de vergonha de vítimas BlackFile que agora está offline.
Para reduzir a taxa de sucesso dos ataques do BlackFile, o RH-ISAC recomenda que as organizações reforcem as suas políticas de tratamento de chamadas, apliquem a verificação de identidade multifatorial aos chamadores e realizem formação em engenharia social baseada em simulação para o pessoal da linha da frente.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O grupo, também rastreado como CL-CRI-1116, UNC6671 e Cordial Spider, está se passando por funcionários corporativos de suporte técnico de TI para roubar credenciais de funcionários e exigir resgates de sete dígitos, de acordo com informações compartilhadas pela Unidade 42 da empresa de segurança cibernética Palo Alto Networks com o Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC).
Os pesquisadores de segurança da Unidade 42 também vincularam o BlackFile com confiança moderada ao “The Com”, uma rede frouxa de cibercriminosos de língua inglesa conhecida por atacar e recrutar jovens para extorsão, violência e produção de material de exploração sexual infantil (CSAM).
Em um relatório de quinta-feira, o RH-ISAC disse que os ataques do grupo começam com ligações para funcionários de números falsificados, nos quais os atores da ameaça se apresentam como suporte de TI para atrair funcionários para páginas de login corporativas falsas que lhes pedem para inserir suas credenciais e senhas de uso único.
“Os invasores por trás do CL-CRI-1116 usam phishing (vishing) baseado em voz de números falsificados de protocolo de voz sobre Internet (VoIP) ou nomes de identificação de chamadas fraudulentos (CNAM) como técnica de engenharia social, normalmente se passando por equipe de suporte de TI”, disse RH-ISAC.
"Podemos confirmar que estamos vendo um aumento significativo nos assuntos do Blackfile e que os TTPs parecem ser muito semelhantes a grupos como ShinyHunters e SLSH e imitadores semelhantes que empregam táticas de exploração de dados de vishing/engenharia social", o fundador e CEO da CyberSteward, Jason S.T. Kotler também disse ao BleepingComputer.
Usando credenciais roubadas, os invasores do BlackFile registram seus próprios dispositivos para contornar a autenticação multifator e, em seguida, aumentam o acesso a contas de nível executivo, coletando diretórios internos de funcionários.
BlackFile rouba dados dos servidores Salesforce e SharePoint das vítimas usando funções de API padrão, procurando especificamente por arquivos contendo termos como “confidencial” e “SSN”.
Os documentos exfiltrados são baixados para servidores controlados pelo invasor e publicados no site de vazamento de dados da dark web da gangue antes que as vítimas sejam contatadas com pedidos de resgate por meio de contas de e-mail de funcionários comprometidas ou endereços do Gmail gerados aleatoriamente.
Site de vazamento de dados BlackFile (RH-ISAC)
“Ao aproveitar o acesso à API do Salesforce e as funções de download padrão do SharePoint, os invasores movem grandes volumes de dados – incluindo conjuntos de dados CSV de números de telefone de funcionários e relatórios comerciais confidenciais – para infraestrutura controlada pelo invasor”, acrescentou RH-ISAC.
“Isso geralmente é feito sob o pretexto de sessões legítimas autenticadas por SSO para evitar o acionamento de alertas simples de agente de usuário”.
Funcionários de empresas comprometidas (incluindo executivos seniores) também têm sido alvo de tentativas de golpe, que envolvem chamadas de emergência falsas para socorristas. Os invasores costumam usar essa tática para exercer pressão adicional sobre suas vítimas.
Mandiant também disse ao BleepingComputer que eles estão respondendo ativamente a vários incidentes de vishing que levaram ao roubo e extorsão de dados, incluindo um que usou um site de vergonha de vítimas BlackFile que agora está offline.
Para reduzir a taxa de sucesso dos ataques do BlackFile, o RH-ISAC recomenda que as organizações reforcem as suas políticas de tratamento de chamadas, apliquem a verificação de identidade multifatorial aos chamadores e realizem formação em engenharia social baseada em simulação para o pessoal da linha da frente.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #novo #grupo #de #extorsão #blackfile #vinculado #a #uma #onda #de #ataques #de #vishing
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário