Один вежливый разговор обычно оказывается куда опаснее сложного вредоноса.
Группы вымогателей всё чаще обходятся без вредоносных программ и громких взломов. Достаточно убедительного телефонного звонка, фальшивой страницы входа и сотрудника, который верит, что разговаривает с внутренней IT-службой. Именно такую схему, по данным Google Threat Intelligence Group, использует UNC6671, действующая под брендом BlackFile.
Специалисты GTIG сообщили, что с начала 2026 года UNC6671 атаковала десятки организаций в Северной Америке, Австралии и Великобритании. Авторы отчёта связывают кампанию с вымогательством через кражу данных из облачных сервисов, прежде всего Microsoft 365 и Okta.
Атаки начинаются с голосового фишинга. Нанятые злоумышленниками операторы звонят сотрудникам на личные телефоны, представляются поддержкой или внутренней IT-командой и говорят о переходе на ключи доступа passkey либо обновлении MFA. Жертву направляют на поддельный портал единого входа, где логин, пароль и одноразовый код перехватываются в реальном времени.
После входа в учётную запись злоумышленники добавляют собственное MFA-устройство, чтобы сохранить доступ. Затем UNC6671 переходит к SaaS-сервисам компании, включая SharePoint, OneDrive, Salesforce и Zendesk. Внутренний поиск помогает быстро находить документы с пометками вроде confidential или SSN.
Не спрашивайте почему мы в MAX.
Для кражи данных группа использует Python и PowerShell, а также обращения к Microsoft Graph и прямые HTTP-запросы к файлам. В ряде случаев активность выглядела не как скачивание, а как обычный доступ к документам, из-за чего события попадали в журналы как FileAccessed, а не FileDownloaded. Такой приём помогает смешаться с нормальным трафиком и снижает шанс быстрой реакции SOC.
GTIG описывает случаи, когда скрипты UNC6671 получали доступ к более чем миллиону файлов в SharePoint и OneDrive. В журналах Microsoft 365 специалисты видели характерные несоответствия User-Agent — доступ маскировался под Microsoft Office, но фактически шёл через python-requests или WindowsPowerShell с VPN и хостинговых IP-адресов.
После кражи данных UNC6671 отправляет компаниям письма с угрозами. Сначала группа не использовала бренд, позже стала представляться BlackFile и перевела переговоры в мессенджер Session. Требования обычно начинались с миллионов долларов, но при контакте могли снижаться до шестизначных сумм. При молчании жертв злоумышленники усиливали давление через массовые письма сотрудникам, угрозы руководству и, в отдельных случаях, сваттинг.
Сайт утечек BlackFile появился 6 февраля 2026 года, но группа не пыталась широко продвигать его и, по данным GTIG, не публиковала полные наборы украденных данных. В конце апреля площадка ушла офлайн, а 11 мая кратко вернулась с заявлением о прекращении работы под прежним названием и снова стала недоступна. Google считает, что речь может идти не о завершении атак, а о смене названия.