HackerangriffePhishingCyberkriminalität

BlackFile: Neue Betrugswelle mit gefälschten IT-Anrufen gegen Einzelhandel und Gastgewerbe

BlackFile: Neue Betrugswelle mit gefälschten IT-Anrufen gegen Einzelhandel und Gastgewerbe
Zusammenfassung

Die Bedrohungslage für deutsche Unternehmen verschärft sich zunehmend: Die Hackergruppe BlackFile, auch unter den Namen CL-CRI-1116, UNC6671 und Cordial Spider bekannt, führt seit Februar 2026 eine massive Welle von Datendiebstahl- und Erpressungsangriffen durch. Die Kriminellen setzen dabei auf eine perfide Taktik – sie geben sich in Telefonanrufen als IT-Supportmitarbeiter aus, um Angestellte dazu zu bewegen, ihre Anmeldedaten auf gefälschten Unternehmensseiten einzugeben. Mit den gestohlenen Zugangsdaten umgehen die Angreifer anschließend Mehrstufenauthentifizierung, greifen auf Executive-Level-Konten zu und plündern systematisch Daten aus Salesforce- und SharePoint-Servern. Besonders bemerkenswert ist die Verbindung zur kriminellen Gruppe „The Com" sowie die Einsetzung von Swatting-Angriffen zur zusätzlichen Erpressung. Für deutsche Einzelhandels- und Hospitality-Unternehmen stellt diese Entwicklung eine erhebliche Gefahr dar. Aber auch mittelständische und große Konzerne sollten aufhorchen, da die Angreifer mehrstellige Millionensummen als Lösegeld fordern. Experten empfehlen verstärkte Telefonrichtlinien, Mehrfaktor-Identitätsverifizierung und regelmäßiges Sicherheitstraining für Mitarbeiter.

Die Sicherheitsforscher von Palo Alto Networks haben die Hackergruppe BlackFile unter mehreren Synonymen dokumentiert: CL-CRI-1116, UNC6671 und Cordial Spider. Die Gruppe nutzt eine bewährte Angriffsmethode, die sich als erschreckend effektiv erwiesen hat: Voice-Phishing, kurz Vishing. Dabei rufen die Angreifer Arbeitnehmer mit gefälschten Rufnummern an – sowohl über manipulierte VoIP-Nummern als auch durch Spoofing von Caller-ID-Namen (CNAM). Sie geben sich als IT-Support-Mitarbeiter aus und leiten Mitarbeiter zu authentisch aussehenden Unternehmenslogin-Seiten weiter.

Hat BlackFile erst einmal die Zugangsdaten eines Mitarbeiters in der Hand, beginnt die zweite Phase des Angriffs. Die Kriminellen registrieren eigene Geräte mit den gestohlenen Credentials, um die Multifaktor-Authentifizierung zu umgehen. Anschließend eskalieren sie ihre Berechtigungen durch das Durchsuchen interner Mitarbeiterverzeichnisse bis zu Executive-Level-Konten.

Besonders bemerkenswert ist die Methode der Datenbeschaffung. BlackFile nutzt Standard-API-Funktionen, um auf Salesforce- und SharePoint-Server der Opfer zuzugreifen. Die Angreifer suchen gezielt nach Dateien mit Begriffen wie “confidential” oder “SSN” (Social Security Numbers). Die gestohlenen Daten – einschließlich CSV-Listen mit Mitarbeiternummern und vertraulichen Geschäftsberichten – werden auf Servern der Angreifer zwischengelagert und anschließend auf der Dark-Web-Leak-Site der Gruppe veröffentlicht.

Um ihre Opfer zusätzlich unter Druck zu setzen, nutzen BlackFile-Mitglieder auch Swatting-Attacken: Sie rufen die Polizei oder den Rettungsdienst mit falschen Notrufen auf die Adressen von Unternehmensführern auf. Diese psychologische Komponente verstärkt die Erpressungswirkung erheblich.

Jason S.T. Kotler, Gründer von CyberSteward, bestätigt gegenüber BleepingComputer ein signifikantes Anwachsen von BlackFile-Fällen. Die Taktiken der Gruppe ähneln denen von ShinyHunters und ähnlichen Kopien-Gruppen, die ebenfalls Vishing und Social Engineering einsetzen.

Die RH-ISAC empfiehlt betroffenen Organisationen, ihre Anrufbehandlungsrichtlinien zu verschärfen, mehrstufige Identifizierungsverfahren für Anrufer einzuführen und regelmäßige Schulungen zur Erkennung von Social-Engineering-Angriffen durchzuführen. Für deutsche Unternehmen ist dies ein wichtiger Weckruf: Vishing-Attacken sind sprachübergreifend und erfordern organisationsweite Sensibilisierungsmaßnahmen.

Ähnliche Artikel