BlackFile grupa aktivno ucenjuje trgovine i hotelske lance putem krađe podataka
BlackFile grupa aktivno ucenjuje trgovine i hotelske lance preko telefonskog inženjerstva i krađe podataka sa zahtevima ucene od milionima dolara.
Šta se desilo?
Grupa kibernetskih napadača poznata kao BlackFile intenzivno napada kompanije u sektoru maloprodaje i ugostiteljstva od februara. Napadači se predstavljaju kao IT podrška preko telefonskih poziva i društvenog inženjerstva kako bi ukrali pristupne kredencijale zaposlenih, a zatim pristupe privilegovanim nalozima i izvlače osetljive podatke. Nakon krađe podataka, grupa zahteva ogromne iznose ucene, obično u rasponu od milion dolara i više.
Koga pogađa?
Napadi zahvataju preduzeća u maloprodaji, hotelijerstvu, zdravstvu, tehnologiji, transportu, logistici i veleprodaji. Posebno su ugrožene srednje i velike kompanije sa dostupnim trkama i direktorima. BlackFile nema fiksnu lisu žrtava - napadače biraju na osnovu dostupnosti i mogućnosti za ekstorziju.
Kako se zaštititi?
- Implementirajte strogu verifikaciju identiteta pri pozivima sa zahtevima za IT podrške - nikada ne dozvolite pristup samo na osnovu telefonskog poziva
- Zahtevajte eskalaciju svake zahteve za IT podrškom do management nivoa pre nego što se odobri pristup
- Ograničite dozvole zaposlenih na najmanju potrebnu dozvolu za njihovu poziciju
- Monitoring za neobičnu aktivnost u Microsoft Graph API, Salesforce i SharePoint okruženju
- Redovno menjajte lozinke privilegovanih naloga i sprečite njihovu deljenje putem poziva
- Edukujte zaposlene o rizicima od social engineeringa i voice-phishing napada
- Analizirajte interne direktorijume zaposlenih i kontrolujte pristup izvršnim korisnicima
Tehnički detalji
BlackFile je poznat i pod imenima CL-CRI-1116, UNC6671 i Cordial Spider. Napadači koriste kombinaciju voice-phishing-a i false login stranica da ukradu kredencijale. Nakon autentifikacije, pristupaju SaaS okruženjima, Microsoft Graph API dozvolama, Salesforce API-jima, internim skladištima i SharePoint sajtovima. Grupa je kreirala sopstveni data-leak sajt za ekstorziju žrtava koje odbiju da plate ucenu.
Preporuka Sajber Radara
Organizacije moraju odmah da ojačaju svoje komunikacijske kanale i procedury verifikacije identiteta. Kako grupa i dalje aktivno izvršava napade, prioritet treba biti implementacija multi-factor autentifikacije i educiranje zaposlenih o rizicima voice-phishing napada. Pažljivo pratite aktivnost u cloud okruženjima i API dozvolama.