駭客組織BlackFile鎖定零售與餐旅業竊取資料，並索討7位數的高價贖金

關於BlackFile的來歷，Palo Alto Networks表示，這群攻擊者別名為UNC6671或Cordial Spider、CL-CRI-1116，而且似乎與The Com有關，該組織是由ShinyHunters與Scattered Spider成員另組的子團隊。值得留意的是，研究人員向資安新聞網站Cyberscoop透露，這波攻擊活動仍在持續進行。究竟有多少企業受害，Palo Alto Networks並未透露。

對於攻擊事故發生的過程，駭客通常會事先建置類似合法企業網站的釣魚網頁，這些網頁多半與單一登入（SSO）有關，目的是在員工輸入相關資料的過程截取憑證。接著，他們透過偽造的網路語音電話（VoIP）號碼與來電顯示名稱（Caller ID Names，CNAM），冒充IT客服從事社交工程攻擊，藉此騙取動態密碼（OTP）。為了能在受害組織內部環境持續活動，他們會綁定自己的裝置，藉此繞過多因素驗證（MFA）。

一旦駭客成功滲透員工的帳號，他們就會試圖橫向移動到高權限帳號，並透過員工名冊找出高階主管，以便進一步對這些主管的帳號進行社交工程攻擊。

這些駭客的主要目的，在於雲端的SaaS服務與內部資料庫的檔案，他們通常會濫用Microsoft Graph API抓取SharePoint網站內容，並透過Salesforce或其他SaaS系統的搜尋功能，尋找具有高價值的機密資料。得逞後透過SharePoint下載功能與Salesforce的API，將含有員工電話號碼的CSV檔案與商業機密資料，大量傳送到攻擊者控制的基礎設施，過程中會使用合法的SSO身分驗證連線進行，以免觸發資安系統警示訊息。最終利用外流的員工電子郵件信箱發送勒索訊息，這些駭客通常會索討高達數百萬美元的贖金，另一方面，他們還會鎖定高階主管進行假報警（Swatting）藉此施加更大的壓力。