Welcome to BlackFile: Inside a Vishing Extortion Operation
Key Insight
UNC6671 nutzt Vishing und Adversary-in-the-Middle-Techniken zur Umgehung von MFA, um Microsoft 365 und Okta zu kompromittieren und anschließend Daten für Erpressungskampagnen zu exfiltrieren; die jüngste Abschaltung ihrer DLS könnte ein Rebranding-Manöver sein.
Beschreibung
UNC6671, unter der Marke BlackFile tätig, führt eine großangelegte Erpressungskampagne durch, die primär auf Microsoft 365 und Okta abzielt. Die Gruppe nutzt Social Engineering (Vishing) kombiniert mit Adversary-in-the-Middle-Angriffen zur Umgehung von Multi-Faktor-Authentifizierung. Nach SSO-Kompromittierung setzen die Angreifer Python- und PowerShell-Skripte ein, um Unternehmensdaten programmatisch zu exfiltrieren. Die jüngste freiwillige Abschaltung der BlackFile-DLS deutet auf eine mögliche Neupositionierung hin, nicht auf eine endgültige Einstellung; historisch zeigen Erpressungskampagnen nach solchen Disruption oft Rebrand- und Infrastruktur-Neubau-Aktivitäten.
Risk Score
- cvss base
- 0.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 0.00
- industry weight
- 1.10
- freshness factor
- 0.50
- days old
- 14.00
- vendor mismatch penalty
- 0.00
- consensus penalty
- -5.00
Pfad: operational