Image credit: magnific
Geng BlackFile Incar Data Perhotelan – Kelompok peretas bermotif finansial baru yang dikenal sebagai BlackFile telah diidentifikasi sebagai dalang pencurian kredensial.
Mereka ada di balik gelombang pencurian data dan serangan pemerasan yang menargetkan sektor ritel serta perhotelan sejak Februari 2026.
Kelompok ini memiliki banyak sebutan di kalangan peneliti, termasuk UNC6671 dan Cordial Spider. Apapun namanya, mereka punya modus yang jelas.
Modus operandi utama mereka adalah menyamar sebagai staf bantuan TI (IT helpdesk) perusahaan untuk mencuri kredensial karyawan.
Setelah berhasil mendapatkan semua kredensial, mereka kemudian akan menuntut uang tebusan dalam jumlah fantastis, hingga mencapai angka tujuh digit dolar.
Taktik Vishing dan Eksploitasi Identitas
Serangan BlackFile dimulai dengan pendekatan rekayasa sosial yang sangat terarah. Berikut adalah tahapan serangan yang mereka lakukan:
- Vishing (Voice Phishing): Penyerang melakukan panggilan telepon ke karyawan menggunakan nomor VoIP yang dipalsukan agar terlihat seperti panggilan internal perusahaan. Mereka menyamar sebagai dukungan TI dan membujuk staf untuk mengunjungi halaman login perusahaan palsu.
- Pencurian OTP: Di halaman palsu tersebut, korban diminta memasukkan nama pengguna, kata sandi, hingga kode sandi satu kali (OTP).
- Pendaftaran Perangkat Ilegal: Menggunakan kredensial curian tersebut, peretas mendaftarkan perangkat mereka sendiri ke dalam sistem perusahaan untuk melewati autentikasi multifaktor (MFA).
- Eskalasi Akses: Mereka kemudian menyisir direktori karyawan internal untuk menargetkan dan mengambil alih akun tingkat eksekutif.
Peneliti juga mengaitkan BlackFile dengan jaringan kriminal siber “The Com,” sebuah kelompok yang dikenal sering merekrut anak muda untuk terlibat dalam tindakan pemerasan dan kekerasan digital.
Pencurian Data Melalui Jalur API Sah
Salah satu kecerdikan BlackFile adalah cara mereka memindahkan data dalam jumlah besar tanpa memicu alarm keamanan tradisional. Mereka menyalahgunakan fungsi API standar pada platform Salesforce dan SharePoint.
Penyerang secara spesifik mencari file yang mengandung istilah sensitif seperti “confidential” (rahasia) atau “SSN” (nomor jaminan sosial).
Aktivitas pengunduhan ini dilakukan di bawah kedok sesi terautentikasi SSO yang sah, sehingga sulit dideteksi oleh sistem pemantauan yang hanya mengandalkan peringatan user-agent sederhana.
Data yang dicuri, termasuk laporan bisnis rahasia dan basis data nomor telepon karyawan, kemudian dipublikasikan di situs kebocoran data milik mereka di dark web sebelum akhirnya menghubungi korban untuk menuntut tebusan.
Taktik Tekanan “Swatting”
Selain tekanan finansial, BlackFile menggunakan metode intimidasi yang sangat berbahaya yang disebut swatting.
Taktik ini melibatkan pembuatan laporan darurat palsu kepada aparat penegak hukum untuk mengirim tim respons darurat ke rumah eksekutif atau karyawan perusahaan yang menjadi korban.
Hal ini dilakukan untuk menciptakan tekanan psikologis tambahan agar korban segera membayar tebusan.
|
Baca juga: Klopatra Ratu Trojan Perbankan Licik Penguras Uang Saat Tidur |
Penjagaan dan Penguatan Pertahanan
Melihat agresivitas BlackFile dalam memanipulasi interaksi manusia, organisasi perlu memperketat kebijakan keamanan mereka melalui langkah-langkah berikut:
- Verifikasi Identitas Penelepon: Perkuat kebijakan penanganan panggilan masuk. Wajibkan proses verifikasi identitas multifaktor bagi siapa pun yang mengeklaim dari departemen TI sebelum memberikan informasi atau mengikuti instruksi apa pun.
- Pantau Aktivitas API: Tingkatkan pemantauan pada penggunaan API Salesforce dan SharePoint. Berikan peringatan pada pola pengunduhan massal yang tidak lazim, meskipun dilakukan melalui akun yang terautentikasi.
- Audit Akses Akun Eksekutif: Berikan perlindungan ekstra dan pemantauan ketat pada akun pejabat tinggi perusahaan yang menjadi target utama eskalasi akses BlackFile.
- Pelatihan Simulasi Sosial: Lakukan pelatihan rekayasa sosial berbasis simulasi secara rutin bagi staf garis depan agar mereka mampu mengenali ciri-ciri panggilan vishing.
- Gunakan solusi keamanan: Solusi yang dapat membantu mendeteksi upaya akses dari perangkat yang tidak dikenal dan memantau aktivitas mencurigakan yang mencoba menyisir direktori sensitif di dalam jaringan perusahaan.
Menghadapi Ancaman di Balik Suara Telepon
Operasi BlackFile menjadi pengingat bahwa teknologi keamanan tercanggih sekalipun dapat dilumpuhkan melalui manipulasi suara dan percakapan. Di tahun 2026, kepercayaan terhadap identitas penelepon tidak boleh diberikan begitu saja.
Dengan memperketat prosedur operasional dukungan TI dan mengedukasi karyawan tentang bahaya penyamaran bantuan teknis, organisasi dapat memutus rantai serangan BlackFile sebelum data berharga mereka berpindah tangan ke infrastruktur penyerang.
Sumber berita:
