Группировка BlackFile атакует ритейл и гостиничный бизнес: шантаж, свординг и семизначные требования
Злоумышленники звонят сотрудникам, взламывают аккаунты руководителей и создают давление через угрозу публикации похищенных данных
Исследователи в области кибербезопасности фиксируют активную волну атак со стороны группировки BlackFile, предположительно связанной с преступным сообществом The Com. Злоумышленники используют голосовой фишинг и методы социальной инженерии, маскируясь под сотрудников IT-поддержки. Под удар попали организации из здравоохранения, технологического сектора, транспорта, логистики, оптовой и розничной торговли.
С февраля 2026 года группа целенаправленно усилила активность против компаний в сфере ритейла и гостиничного бизнеса. Эти данные опубликованы в совместном отчёте Unit 42 (Palo Alto Networks) и отраслевого центра RH-ISAC.
Цель — максимальное давление
Группировка также отслеживается под псевдонимами CL-CRI-1116, UNC6671 и Cordial Spider. По словам старшего исследователя Unit 42 Мэтта Брейди, атаки носят оппортунистический характер и продолжаются по сей день.
«Главная цель этих злоумышленников — вынудить жертву заплатить крупный выкуп, как правило в семизначном размере»
Особую тревогу вызывает то, что ряд участников группы прибегает к свордингу — ложным вызовам силовых структур на адреса руководителей компаний — чтобы усилить психологическое давление и ускорить выплату.
Как проводятся атаки
Схема начинается с голосового фишинга: жертвам звонят, представляясь IT-специалистами, и одновременно направляют на поддельные страницы корпоративного единого входа (SSO) для кражи учётных данных. Получив доступ, атакующие переходят к привилегированным аккаунтам.
Далее злоумышленники собирают внутренние корпоративные директории, извлекая контакты топ-менеджеров, и через дополнительную социальную инженерию компрометируют их учётные записи — получая широкий и устойчивый доступ к инфраструктуре, внешне неотличимый от легитимной активности руководства.
Что похищают
В зоне интереса группировки — SaaS-среды, Microsoft Graph API, доступ к Salesforce, внутренние репозитории, сайты SharePoint, а также базы данных с номерами телефонов сотрудников и корпоративной документацией. Для дополнительного давления на жертв BlackFile создала собственный сайт утечек, где публикует данные компаний, отказавшихся платить.
Связь с другими кампаниями
Unit 42 отмечает пересечение тактик BlackFile с кампанией по краже данных, которую CrowdStrike отслеживает под именем Cordial Spider как минимум с октября 2025 года. Более широкий контекст атак был обозначен ещё в январе — когда Google Threat Intelligence Group и Okta предупредили о массовой волне голосового фишинга сразу от нескольких киберпреступных группировок.
Как защититься
RH-ISAC рекомендует компаниям внедрить многоуровневую верификацию личности при входящих звонках в IT-поддержку, а также ограничить перечень действий, которые можно выполнить в рамках одного обращения без дополнительного согласования с руководством.