Los investigadores advierten que BlackFile, un grupo de extorsión probablemente asociado con The Com, continúa haciéndose pasar por el soporte de TI en ataques de phishing de voz e ingeniería social que han impactado a organizaciones en múltiples industrias, incluidas la atención médica, la tecnología, el transporte, la logística, el comercio mayorista y minorista.

Los atacantes han estado activamente Dirigido a organizaciones del sector minorista y hotelero. industria desde febrero, según la última inteligencia de la Unidad 42 sobre la campaña, que el Centro de análisis e intercambio de información de comercio minorista y hotelería (RH-ISAC) publicó junto con indicadores de compromiso el jueves.

El grupo de amenazas, que también se rastrea como CL-CRI-1116, UNC6671 y Cordial Spider, parece estar apuntando a las víctimas de manera oportunista en una campaña que permanece activa y en curso, dijo a CyberScoop Matt Brady, investigador principal senior de la Unidad 42 de Palo Alto Networks.

«El objetivo principal de estos actores de amenazas es presionar a las organizaciones objetivo para que paguen grandes demandas de rescate, generalmente en el rango de siete cifras», dijo Brady.

La Unidad 42 se negó a decir cuántas organizaciones se han visto afectadas hasta el momento y RH-ISAC no respondió a una solicitud de comentarios.

Los ataques de BlackFile contra empresas del sector minorista y hotelero son parte de una ola más amplia de ataques de phishing de voz iniciados por múltiples grupos de ciberdelincuencia, que Grupo de inteligencia sobre amenazas de Google y Okta advirtió en enero.

La Unidad 42 también señaló que las actividades de BlackFile se superponen con una campaña de extorsión y robo de datos en curso que CrowdStrike ha estado siguiendo como Araña cordial desde al menos octubre de 2025.

Sin embargo, las tácticas del grupo amenazador han estado lejos de ser cordiales. RH-ISAC dijo que algunos atacantes han aplastado al personal de la empresa, incluidos los ejecutivos, para aumentar su influencia y presionar a las víctimas para que paguen sus demandas de rescate.

El grupo de amenazas atrae a las víctimas mediante ataques de phishing de voz y páginas de phishing que imitan servicios corporativos de inicio de sesión único para robar credenciales antes de pasar a cuentas privilegiadas.

«Buscan directorios internos de empleados para obtener listas de contactos de ejecutivos», escribió RH-ISAC en una publicación de blog. «Al comprometer estas cuentas senior a través de ingeniería social adicional, obtienen acceso persistente y de amplio espectro al entorno que refleja la actividad legítima de las sesiones ejecutivas».

El acceso no autorizado y el robo de datos del grupo para actividades de extorsión abarcan entornos SaaS, permisos de la API de Microsoft Graph, acceso a la API de Salesforce, repositorios internos, sitios de SharePoint y conjuntos de datos que contienen números de teléfono y registros comerciales de los empleados.

BlackFile también creó un sitio de filtración de datos para extorsionar a las víctimas que, según afirma, ignoraron o no aceptaron sus demandas, según los investigadores.

Brady dijo que la Unidad 42 ha observado una actividad relativamente constante del grupo de amenaza desde febrero.

RH-ISAC aconseja a las organizaciones gestionar la verificación de identidad de múltiples factores para las personas que llaman y limitar las acciones de soporte de TI que se pueden completar en una sola llamada sin escalar a la administración.