BlackFile pokazuje nowy model wymuszeń. Najpierw helpdesk, potem konto kierownictwa, na końcu dane

2026-04-27

TL;DR

BlackFile pokazuje zmianę w świecie cyberwymuszeń. Atak nie musi zaczynać się od klasycznego malware, exploita albo szyfrowania komputerów. Może zacząć się od telefonu. Od podszycia się pod helpdesk. Od przejęcia konta, które daje dostęp do legalnych procesów, legalnych API i aktywności wyglądającej jak zwykła praca użytkownika.

Wiele organizacji nadal myśli o wymuszeniu i kradzieży danych przez pryzmat ransomware: ktoś uruchamia złośliwy kod, szyfruje serwery, a potem żąda okupu. BlackFile pokazuje inny model. Najpierw vishing, czyli phishing telefoniczny. Potem fałszywe SSO, czyli strona podszywająca się pod firmowy system logowania. Następnie przejęcie konta osoby z organizacji, dostęp do systemów SaaS i kradzież danych. Dopiero na końcu pojawia się wymuszenie.

O co chodzi w aktywności BlackFile

Główne źródło tej analizy to materiał RH-ISAC. RH-ISAC to branżowa organizacja wymiany informacji o zagrożeniach dla sektora handlu detalicznego, e-commerce, hoteli, restauracji i szeroko rozumianej obsługi gości. W tym materiale RH-ISAC opiera się na obserwacjach Unit 42, zespołu threat intelligence i incident response firmy Palo Alto Networks.

Według tych ustaleń Unit 42 reagował od lutego 2026 roku na liczne incydenty związane z aktywnością przypisywaną z umiarkowaną pewnością klastrowi CL-CRI-1116. Ten klaster pokrywa się z publicznie opisywanymi nazwami BlackFile, UNC6671 i Cordial Spider. Badacze wskazują również możliwe powiązania ze środowiskiem The Com, czyli luźnym ekosystemem cyberprzestępczym znanym między innymi z socjotechniki, kradzieży danych i presji wywieranej na ofiary.

Nazwy są tu mniej ważne niż sam model działania. RH-ISAC podkreśla, że sprawcy nie polegają przede wszystkim na własnym malware. Zamiast tego wykorzystują legalne konta, legalne sesje, legalne API i realne uprawnienia. Po przejęciu dostępu mogą przez pewien czas wyglądać jak normalny użytkownik.

Atak nie musi być głośny, żeby był skuteczny. Nie musi od razu szyfrować serwerów. Nie musi instalować ciężkiego, łatwego do zauważenia malware. Wystarczy, że przejmie tożsamość i zacznie używać jej w sposób, który dla systemów może wyglądać jak zwykła praca.

Jak wygląda atak BlackFile krok po kroku

Najpierw pojawia się telefon od osoby podszywającej się pod helpdesk IT. To etap vishingu, czyli phishingu prowadzonego głosem. Atakujący nie czeka, aż ofiara sama kliknie w przypadkowy link. Dzwoni, buduje zaufanie, narzuca tempo i prowadzi rozmowę tak, jakby rozwiązywał realny problem z dostępem.

Potem ofiara trafia na fałszywą stronę logowania SSO. SSO, czyli single sign-on, to centralny system logowania do wielu firmowych usług. Dla pracownika to wygoda, bo jedno logowanie otwiera dostęp do poczty, dokumentów, CRM, aplikacji SaaS i innych narzędzi. Dla napastnika to bardzo atrakcyjny punkt wejścia, bo przejęcie takiego procesu może otworzyć więcej niż jeden system.

Następnie przejmowane są login, hasło i kod MFA. MFA, czyli uwierzytelnianie wieloskładnikowe, ma chronić konto dodatkowym składnikiem, na przykład kodem jednorazowym, aplikacją mobilną, powiadomieniem push albo kluczem sprzętowym. Problem zaczyna się wtedy, gdy użytkownik zostaje wciągnięty w fałszywy proces i sam podaje albo zatwierdza to, czego potrzebuje atakujący.

Po wejściu do środowiska napastnicy szukają wartościowszych kont. Przeglądają katalogi pracowników, listy kontaktowe i informacje o kadrze kierowniczej. Celem są konta osób decyzyjnych, dyrektorów, członków zarządu i właścicieli procesów, bo taki dostęp daje większy zasięg i często wygląda mniej podejrzanie.

Dalej zaczyna się kradzież danych z usług SaaS, takich jak Microsoft 365, Salesforce czy SharePoint. Atakujący może nadużywać API, czyli interfejsów pozwalających aplikacjom pobierać i przetwarzać dane automatycznie. Jeśli przejęte konto ma odpowiednie uprawnienia, dane można wyciągać przez legalne mechanizmy.

Na końcu pojawia się wymuszenie. BlackFile nie musi szyfrować systemów, żeby wywrzeć presję. Wystarczy groźba publikacji, sprzedaży albo wykorzystania skradzionych danych.

Najpierw telefon, potem fałszywe SSO

CyberScoop i RH-ISAC opisują ten sam punkt wejścia: sprawcy podszywają się pod firmowy helpdesk IT i dzwonią do pracowników. Korzystają z fałszywego caller ID albo z numerów VoIP wyglądających lokalnie. Caller ID to informacja o numerze dzwoniącego widoczna na ekranie telefonu, a VoIP to telefonia internetowa. Oba elementy można wykorzystać tak, żeby połączenie wyglądało bardziej wiarygodnie.

W rozmowie napastnik buduje wrażenie, że chodzi o normalną czynność techniczną: problem z dostępem, reset, weryfikację, zmianę ustawień albo bezpieczeństwo konta. Potem kieruje ofiarę na stronę podszywającą się pod firmowy portal SSO.

To nie jest prosty phishing z linkiem. To rozmowa operacyjna, w której atakujący reaguje na odpowiedzi użytkownika i prowadzi go przez kolejne kroki. Właśnie dlatego taki scenariusz jest trudniejszy do przerwania niż zwykły mail z podejrzanym załącznikiem.

Dokładnie ten typ zagrożenia opisujemy szerzej w tekstach Okta pod ostrzałem. Ten scenariusz może pojawić się także w Polsce oraz ATHR pokazuje, że vishing wchodzi w etap automatyzacji. BlackFile dobrze pokazuje, że vishing nie jest już poboczną techniką oszustów. To realna ścieżka wejścia do środowiska firmowego.

MFA nie zamyka problemu, jeśli atakujący przejmie proces

W tym przypadek szczególnie mocno widać ograniczenia myślenia w stylu: mamy MFA, więc jesteśmy bezpieczni. MFA pomaga, ale nie zamyka ryzyka, jeśli użytkownik zostaje przeprowadzony przez fałszywy, wiarygodnie wyglądający proces.

RH-ISAC opisuje, że po wyłudzeniu danych logowania napastnicy mogli rejestrować własne urządzenia albo przejmować dalsze procesy dostępu. W praktyce oznacza to, że drugi składnik nie chroni organizacji w pełni, jeśli osoba po drugiej stronie telefonu wierzy, że wykonuje polecenia helpdesku.

Dobrze uzupełnia to analiza Okta Threat Intelligence. Okta opisała zestawy phishingowe zsynchronizowane z rozmową telefoniczną, działające w czasie rzeczywistym. Taki zestaw może pokazywać ofierze kolejne ekrany logowania dokładnie wtedy, gdy rozmówca podaje instrukcje. Dzięki temu cały proces wygląda jak normalna procedura IT.

Dla firmy wniosek jest prosty: nie wystarczy mieć MFA. Trzeba chronić proces, który prowadzi do jego użycia. Szczególnie reset hasła, zmianę metody MFA, rejestrację nowego urządzenia i odzyskiwanie dostępu.

Konta kierownictwa są celem, nie skutkiem ubocznym

Jednym z najmocniejszych fragmentów materiału RH-ISAC jest opis działań po wejściu do środowiska. Napastnicy zeskrobują wewnętrzne katalogi pracowników, szukają list kontaktowych do kierownictwa, a potem przejmują konta osób na stanowiskach decyzyjnych przez kolejne rundy socjotechniki.

Nie chodzi wyłącznie o prestiżowe konto. Konto członka zarządu, dyrektora albo właściciela procesu może mieć dostęp do wrażliwych dokumentów, kontaktów, danych klientów, raportów i wewnętrznej komunikacji. Działania wykonywane z takiego konta mogą też wyglądać bardziej wiarygodnie, bo organizacja naturalnie zakłada, że osoba z wysokiego stanowiska ma szerokie uprawnienia.

W tym sensie BlackFile nie jest tylko kampanią phishingową. To atak na strukturę zaufania wewnątrz firmy.

Bez malware też da się ukraść bardzo dużo

RH-ISAC opisuje nadużycie środowisk SaaS, uprawnień Microsoft Graph, dostępu do Salesforce API, repozytoriów, SharePointa i zbiorów danych zawierających numery telefonów pracowników oraz rekordy biznesowe.

Microsoft Graph to API pozwalające programowo pracować z danymi i usługami Microsoft 365, takimi jak poczta, kalendarz, pliki, Teams czy informacje o użytkownikach. Salesforce API działa podobnie po stronie Salesforce i może umożliwiać dostęp do danych klientów, leadów, historii sprzedaży i procesów handlowych. SharePoint to z kolei często centralne miejsce przechowywania dokumentów firmowych.

Jeśli napastnik ma przejęte konto z odpowiednimi uprawnieniami, nie musi włamywać się do każdego systemu osobno. Może korzystać z tego, do czego konto już ma dostęp. Dla obrońcy to trudny scenariusz, bo wiele aktywności może wyglądać jak zwykłe korzystanie z systemów.

Właśnie dlatego ten case dobrze wpisuje się w szerszy kierunek opisany w tekście Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza. Problem dawno wyszedł poza sam inbox. Dziś trzeba bronić całego łańcucha tożsamości, sesji i uprawnień.

Wymuszenie po kradzieży danych zamiast klasycznego ransomware

CyberScoop zwraca uwagę, że BlackFile nie działa jak typowy operator ransomware. Głównym celem jest presja na zapłatę po kradzieży danych. Żądania mają zwykle siedmiocyfrowy poziom, a grupa stworzyła własną stronę dla ofiar, które nie chcą płacić albo przeciągają negocjacje.

Data leak site to strona, na której grupa przestępcza publikuje informacje o ofiarach i grozi ujawnieniem skradzionych danych. To narzędzie presji. Firma ma zapłacić nie dlatego, że jej serwery są zaszyfrowane, ale dlatego, że boi się utraty reputacji, kar, pozwów, utraty klientów i publikacji wrażliwych dokumentów.

To istotna różnica. W klasycznym ransomware widzieliśmy szyfrowanie, blokadę działania i dopiero potem żądanie okupu. Tutaj pierwszym poważnym objawem może być dobrze wyglądająca aktywność w SaaS, a nie zaszyfrowana stacja robocza.

Swatting pokazuje, jak daleko sięga presja

Jednym z najbardziej niepokojących elementów tej historii jest wątek swattingu. CyberScoop i RH-ISAC piszą, że część sprawców powiązanych z BlackFile miała stosować swatting wobec personelu, w tym wobec osób z kadry kierowniczej, żeby zwiększyć presję na ofiary.

Swatting polega na fałszywym zgłoszeniu do służb, zwykle policji, tak aby wywołać interwencję pod adresem konkretnej osoby. W kontekście wymuszeń jest to forma zastraszania i przeniesienia presji z systemów firmowych do życia prywatnego.

To pokazuje, że granica między cyberprzestępczością a presją psychologiczną i operacyjną zaczyna się zacierać. Atak może wyjść poza infrastrukturę firmy i uderzyć w telefony prywatne, adresy domowe, rodziny i poczucie bezpieczeństwa konkretnych osób.

Dla zarządu i osób decyzyjnych to ważny sygnał: wymuszenie po kradzieży danych nie jest już wyłącznie problemem technicznym.

Phishing i wymuszenia dotyka różnych branż

RH-ISAC opisuje sprawę z perspektywy retail i hospitality, czyli handlu detalicznego oraz branży hotelarsko-gastronomicznej. To naturalne, bo właśnie na tych sektorach koncentruje się ta organizacja. Nie oznacza to jednak, że model BlackFile dotyczy wyłącznie sklepów, hoteli czy restauracji.

CyberScoop wskazuje, że aktywność dotknęła także inne branże, między innymi branża zdrowia, technologiczna, logistyka.

Ten model da się przenieść szeroko, bo nie zależy od specyfiki jednej branży. Wystarczy organizacja, która ma centralne logowanie, helpdesk, konta uprzywilejowane, dużo usług SaaS, pracę zdalną i ludzi przyzwyczajonych do szybkiego rozwiązywania problemów z dostępem.

Co firmy powinny zrobić teraz

Najpierw trzeba przestać traktować helpdesk jak neutralną warstwę operacyjną. Helpdesk jest dziś pełnoprawną powierzchnią ataku. Google Threat Intelligence zaleca wzmacnianie weryfikacji tożsamości w interakcjach z helpdeskiem, zwłaszcza przy resetach haseł, zmianach MFA i rejestracji nowych urządzeń.

Drugi krok to ograniczenie działań, które mogą zostać wykonane w jednej rozmowie bez dodatkowej eskalacji. Jeśli ktoś dzwoni i prosi o reset MFA, zmianę urządzenia albo odzyskanie dostępu, helpdesk powinien mieć procedurę, która nie kończy się wyłącznie na poprawnych odpowiedziach w rozmowie telefonicznej.

Trzeci obszar to monitoring tożsamości, a nie tylko endpointów. Jeśli zagrożenie działa przez legalne API, Microsoft Graph, Salesforce i sesje kont kierownictwa, organizacja musi widzieć podejrzane zmiany w MFA, nowe urządzenia, nietypowe tokeny i nienaturalny dostęp do danych w SaaS.

Czwarty element to ćwiczenie użytkowników i helpdesku w scenariuszach telefonicznych. W wielu firmach awareness nadal skupia się głównie na mailach. BlackFile pokazuje, że rozmowa telefoniczna może być początkiem całego incydentu.

Najważniejsza lekcja z BlackFile

BlackFile pokazuje dojrzały model wymuszenia po kradzieży danych. Nie trzeba dziś wdrażać własnego malware, jeśli można przejąć zaufanie do helpdesku, wejść przez fałszywe SSO i później kraść dane legalnie wyglądającymi sesjami.

Dla PHISHLY to szczególnie ważny przypadek, bo przesuwa rozmowę o phishingu poza samą pocztę. Nowoczesny phishing nie kończy się na kliknięciu w link. Coraz częściej dotyczy tożsamości, procesu, uprawnień i decyzji człowieka podejmowanej pod presją.

Jeżeli firma nadal patrzy na phishing głównie przez pryzmat podejrzanego maila, może przeoczyć moment, w którym zaczyna się prawdziwe ryzyko. Ten moment następuje wtedy, gdy użytkownik uwierzy, że rozmawia z IT, a system uwierzy, że działa legalne konto osoby decyzyjnej.

Jeżeli chcesz sprawdzić, czy Twoja organizacja ćwiczy właśnie takie scenariusze, dobrym początkiem jest quiz phishingowy PHISHLY.