Un groupe de hackers motivés par des raisons financières, connu sous le nom de BlackFile, a été associé à une série d’attaques de vol de données et d’extorsion ciblant des organisations dans le secteur du retail et de l’hôtellerie depuis février 2026.
Identifié également sous les appellations CL-CRI-1116, UNC6671 et Cordial Spider, ce groupe utilise une tactique de manipulation pour usurper l’identité d’agents du support informatique afin de dérober des identifiants d’employés et d’exiger des rançons à sept chiffres, selon un rapport partagé par la société de cybersécurité Palo Alto Networks‘ Unit 42 avec le Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC).
Les chercheurs en sécurité de l’unité 42 ont établi un lien, avec un certain degré de confiance, entre BlackFile et The Com, un réseau lâche de cybercriminels anglophones réputés pour cibler et recruter des jeunes pour des activités d’extorsion, de violence et de création de matériel d’exploitation sexuelle d’enfants (CSAM).
Selon un rapport publié jeudi par RH-ISAC, les attaques commencent par des appels téléphoniques aux employés provenant de numéros falsifiés. Les cybercriminels se font passer pour des agents du support informatique et incitent le personnel à se rendre sur de fausses pages de connexion d’entreprise où ils sont invités à entrer leurs identifiants et codes d’accès à usage unique.
Les attaquants de CL-CRI-1116 exploitent des techniques de vishing depuis des numéros VoIP usurpés, utilisant également des noms d’appelant frauduleux comme méthode d’ingénierie sociale. RH-ISAC souligne que ce type d’attaque connaît une forte augmentation et révèle des tactiques similaires à celles employées par des groupes comme ShinyHunters et SLSH.
En utilisant des identifiants volés, les attaquants de BlackFile enregistrent leurs propres dispositifs pour contourner l’authentification multifactorielle, puis élèvent leur accès aux comptes des dirigeants en fouillant dans les annuaires internes des employés.
Les membres de BlackFile siphonnent des données des serveurs Salesforce et SharePoint des victimes en utilisant des fonctions API standards, en recherchant spécifiquement des fichiers contenant les termes « confidentiel » et « SSN ». Ces documents exfiltrés sont téléchargés sur des serveurs contrôlés par les attaquants et publiés sur le site de fuite de données du groupe avant que les victimes ne soient contactées pour des demandes de rançon via des comptes de messagerie compromis ou des adresses Gmail générées aléatoirement.
Une fois l’accès obtenu, les attaquants exploitent l’API Salesforce et les fonctions de téléchargement de SharePoint pour transférer d’importants volumes de données, y compris des ensembles de données CSV contenant des numéros de téléphone d’employés et des rapports commerciaux confidentiels. RH-ISAC précise que cela se fait souvent sous le couvert de sessions authentifiées par SSO pour éviter de déclencher des alertes simples.
Les employés des entreprises ciblées, y compris des cadres supérieurs, ont également été victimes de tentatives de swatting, qui consistent à passer de faux appels d’urgence aux services de secours, une tactique utilisée pour faire pression sur les victimes.
Par ailleurs, la société Mandiant a indiqué qu’elle répondait activement à plusieurs incidents de vishing ayant conduit à des vols de données et à des extorsions, dont un cas a impliqué un site de honte des victimes lié à BlackFile qui est désormais hors ligne.
Pour réduire le taux de succès des attaques de BlackFile, RH-ISAC recommande aux organisations de renforcer leurs politiques de gestion des appels, d’appliquer une vérification d’identité multifactorielle pour les appelants et de mettre en place des formations sur l’ingénierie sociale basées sur des simulations pour le personnel de première ligne.