Группировка BlackFile использует голосовой фишинг и AiTM для взлома корпоративных облачных систем

С начала 2026 года злоумышленники, действующие под брендом BlackFile (группировка UNC6671), провели десятки атак на организации в Северной Америке, Австралии и Великобритании. Их цель - облачные среды Microsoft 365 и Okta. Главное оружие - не технические уязвимости, а продуманная социальная инженерия в сочетании с перехватом сеансов многофакторной аутентификации (MFA). Это делает атаки особенно опасными для компаний, которые полагаются на стандартные пароли и push-уведомления.

Описание

В отличие от многих других вымогателей, UNC6671 не использует программы-шифровальщики. Их бизнес-модель - кража конфиденциальных данных с последующим шантажом. При этом группировка тщательно маскирует свои действия: не привлекает излишнего внимания к сайту утечек, не публикует полные базы данных. Однако давление на жертв оказывается агрессивное: от массовой рассылки спама до угроз физической расправы в отношении руководства.

Как злоумышленники получают доступ к корпоративным системам

Начальный этап атаки всегда начинается с голосового фишинга (vishing). Операторы звонят сотрудникам на личные мобильные телефоны - так они обходят корпоративные системы защиты. Звонящий представляется сотрудником IT-отдела и сообщает о якобы обязательной миграции на passkeys (ключи доступа) или обновлении настроек MFA. Чтобы придать разговору правдоподобность, жертву направляют на поддельный сайт, который визуально копирует портал единого входа (SSO) её компании.

Домены для фишинга злоумышленники регистрируют у регистратора Tucows. Адреса выглядят очень убедительно: например, "<название_организации>.enrollms.com" или "<название_организации>.passkeyms.com". Такая схема снижает подозрения у жертвы - ведь она видит знакомые слова в URL.

Реальный перехват MFA в реальном времени

Когда сотрудник вводит свои учётные данные на подставном сайте, злоумышленник мгновенно передаёт их на настоящий портал SSO. После того как система запрашивает код или подтверждение через push-уведомление, жертва - будучи уверенной, что проходит настройку - сама предоставляет злоумышленнику код или нажимает "разрешить". Это типичная атака "злоумышленник посередине" (adversary-in-the-middle, AiTM). Она позволяет обойти даже те методы MFA, которые считаются более стойкими, чем SMS.

После успешного входа хакер сразу переходит в настройки безопасности пользователя и регистрирует собственное устройство для MFA. Таким образом он получает постоянную точку закрепления в системе - даже если жертва позже меняет пароль, контроль сохраняется. Скорость операции настолько высока, что ни сам сотрудник, ни штатный центр мониторинга (SOC) не успевают заметить подмену.

Автоматизированная кража данных: от FileDownloaded к FileAccessed

Специалисты Google Threat Intelligence в отчёте описали, как злоумышленники, закрепившись, переходят к сбору данных. Они используют скомпрометированную учётную запись для доступа к SharePoint, OneDrive, а также к таким приложениям, как Zendesk и Salesforce. Сначала проводят разведку: через поиск ищут документы со словами "confidential" и "SSN" (номера социального страхования). Затем включаются автоматические скрипты на Python и PowerShell.

Интересная особенность: на ранних этапах кампании хакеры скачивали файлы, и в логах появлялось событие FileDownloaded. Позже они изменили тактику. Вместо вызова API, помеченного как "скачивание", они напрямую отправляли HTTP GET-запросы к URL документа, используя украденные сессионные cookie (например, FedAuth). Такое поведение фиксируется как FileAccessed, а не FileDownloaded. Многие центры мониторинга относятся к FileAccessed как к обычному просмотру и не вызывают тревогу.

При этом User-Agent в логах выдаёт скриптовые движки: python-requests/2.28.1 или WindowsPowerShell/5.1. А источником запросов часто выступают коммерческие VPN-узлы и хостинг-провайдеры. Скорость автоматизации впечатляет: в одном случае злоумышленник загрузил более миллиона файлов с одного аккаунта SharePoint.

Вымогательство: от анонимности до открытого давления

Первые требования высылаются с временно созданных почтовых ящиков Gmail. Письма не содержат упоминания бренда - только описание украденных данных и контакт в защищённом мессенджере Tox или Session. Если жертва вступает в переговоры, хакеры представляются как BlackFile и назначают сумму выкупа - обычно от нескольких миллионов долларов. Но при активном диалоге они быстро снижают планку до низких шестизначных чисел.

На случай молчания предусмотрена эскалация. Если компания не отвечает, злоумышленники запускают массовую рассылку писем с десятков Gmail-аккаунтов - пока спам-фильтры не блокируют отправителей. Затем звонки поступают уже напрямую топ-менеджерам. В крайних случаях хакеры применяют "своттинг" - ложные вызовы спецслужб по адресу сотрудников.

Эволюция заметок о выкупе прослеживается чётко: в январе сроки составляли 24-48 часов, к концу месяца стали стандартными 72 часа. В феврале появилось название BlackFile, а мессенджер сменился с Tox на Session. С марта хакеры начали использовать взломанные внутренние учётные записи электронной почты и Microsoft Teams для доставки угроз.

Сайт утечки BlackFile: необычная стратегия

6 февраля 2026 года группировка запустила собственный сайт утечек (DLS). На нём они называли себя "исследователями в области безопасности". Однако, в отличие от многих других вымогателей, BlackFile не пытались привлекать внимание к этому ресурсу - не индексировали его для поисковиков и не публиковали полные объёмы данных. Обычно выкладывались лишь образцы файлов и списки каталогов. Полные базы данных пока не были замечены в открытом доступе.

В конце апреля сайт перестал работать. 11 мая он на короткое время появился снова, сообщив: "BlackFile закрывается… под этим именем". После этого ресурс снова стал недоступен. Это может означать либо временную паузу, либо ребрендинг группировки.

Как защититься от таких атак

Ключевая рекомендация специалистов - внедрение устойчивой к фишингу многофакторной аутентификации. FIDO2-совместимые ключи или passkeys не могут быть перехвачены через AiTM, так как не подразумевают ввода одноразового кода или push-подтверждения. Дополнительно стоит настроить мониторинг событий регистрации нового MFA-устройства сразу после успешного входа - это часто указывает на взлом.

Также необходимо анализировать User-Agent в логах: если скриптовый язык программирования (Python, PowerShell) обращается к SharePoint, это повод для расследования - особенно когда исходящий IP-адрес принадлежит коммерческому VPN. Событие FileAccessed с типичным для скрипта агентом должно восприниматься с той же критичностью, что и FileDownloaded.

Наконец, стоит внедрить защиту от ввода корпоративного пароля на незнакомых сайтах - например, расширение Password Alert для Google Workspace. Такие автоматические блокировки могут сработать даже если человек поддался на уговоры злоумышленников и ввёл свои данные.

Несмотря на техническую изощрённость UNC6671, их успех напрямую зависит от человеческого фактора. Компании, которые смогут обучить сотрудников распознавать подобные звонки и переведут аутентификацию на современные аппаратные ключи, имеют хорошие шансы избежать участи жертв этой группировки.