Авторы отчёта связывают кампанию с вымогательством через кражу данных из облачных сервисов, прежде всего Microsoft 365 и Okta. Атаки начинаются со звонков. Нанятые злоумышленниками операторы звонят сотрудникам на личные телефоны, представляются поддержкой или внутренней IT-командой и говорят о переходе на ключи доступа passkey либо обновлении MFA. Жертву направляют на поддельный портал единого входа, где логин, пароль и одноразовый код перехватываются в реальном времени. После входа в учётную запись злоумышленники добавляют собственное MFA-устройство, чтобы сохранить доступ, пишет Securitylab. Затем UNC6671 переходит к SaaS-сервисам компании, включая SharePoint, OneDrive, Salesforce и Zendesk. Внутренний поиск помогает быстро находить документы с пометками вроде confidential или SSN. Для кражи данных группа использует Python и PowerShell, а также обращения к Microsoft Graph и прямые HTTP-запросы к файлам. В ряде случаев активность выглядела не как скачивание, а как обычный доступ к документам, из-за чего события попадали в журналы как FileAccessed, а не FileDownloaded. Такой приём помогает смешаться с нормальным трафиком и снижает шанс быстрой реакции SOC. GTIG описывает случаи, когда скрипты UNC6671 получали доступ к более чем миллиону файлов в SharePoint и OneDrive. В журналах Microsoft 365 специалисты видели характерные несоответствия User-Agent — доступ маскировался под Microsoft Office, но фактически шёл через python-requests или WindowsPowerShell с VPN и хостинговых IP-адресов. После кражи данных UNC6671 отправляет компаниям письма с угрозами. Сначала группа не использовала бренд, позже стала представляться BlackFile и перевела переговоры в мессенджер Session. Требования обычно начинались с миллионов долларов, но при контакте могли снижаться до шестизначных сумм. Сайт утечек BlackFile появился 6 февраля 2026 года, но группа не пыталась широко продвигать его и, по данным GTIG, не публиковала полные наборы украденных данных. В конце апреля площадка ушла офлайн, а 11 мая кратко вернулась с заявлением о прекращении работы под прежним названием и снова стала недоступна. Google считает, что речь может идти не о завершении атак, а о смене названия.
Вымогатели UNC6671 атакуют десятки организаций в Северной Америке, Австралии и Великобритании
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования