Grup Pemerasan Baru ‘BlackFile’ Terkait dengan Lonjakan Serangan Vishing
Sebuah grup peretas baru yang bermotif finansial—kini dilacak sebagai BlackFile—telah dikaitkan dengan gelombang pencurian data dan serangan pemerasan yang menargetkan organisasi ritel dan perhotelan sejak Februari 2026.
Menurut informasi yang dibagikan oleh Unit 42 dari firma keamanan siber Palo Alto Networks kepada Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC), grup yang juga dilacak sebagai CL-CRI-1116, UNC6671, dan Cordial Spider ini beraksi dengan cara menyamar sebagai staf dukungan TI perusahaan. Tujuannya adalah untuk mencuri kredensial karyawan dan menuntut tebusan hingga tujuh digit dolar.
Lebih mengkhawatirkan lagi, para peneliti keamanan Unit 42 juga mengaitkan BlackFile (dengan tingkat keyakinan sedang) dengan “The Com”, sebuah jaringan longgar penjahat siber berbahasa Inggris. Jaringan ini terkenal sering menargetkan dan merekrut anak muda untuk melakukan pemerasan, kekerasan, hingga produksi materi eksploitasi seksual anak (CSAM).
Taktik Vishing dan Pencurian Kredensial
Dalam laporannya pada hari Kamis, RH-ISAC menjelaskan bahwa serangan kelompok ini selalu diawali dengan panggilan telepon ke karyawan dari nomor yang dipalsukan (spoofed numbers).
Dalam panggilan tersebut, aktor ancaman menggunakan teknik voice-based phishing atau vishing, di mana mereka menyamar sebagai staf dukungan TI. Mereka kemudian memikat staf tersebut untuk mengunjungi halaman login perusahaan palsu yang meminta korban memasukkan kredensial dan kode sandi satu kali (one-time passcodes).
“Kami dapat mengonfirmasi bahwa kami melihat peningkatan signifikan dalam masalah BlackFile dan bahwa TTP (Taktik, Teknik, dan Prosedur) mereka tampaknya sangat mirip dengan grup seperti ShinyHunters dan SLSH serta peniru serupa yang menggunakan taktik eksploitasi data vishing/rekayasa sosial,” ungkap Jason S.T. Kotler, pendiri dan CEO CyberSteward.
Setelah berhasil mendapatkan kredensial curian, peretas BlackFile akan mendaftarkan perangkat mereka sendiri ke sistem perusahaan. Langkah ini dilakukan untuk melewati perlindungan Autentikasi Multifaktor (MFA), untuk kemudian mengeskalasi akses ke akun tingkat eksekutif dengan mengorek direktori karyawan internal.
Eksfiltrasi Data dan Teror “Swatting”
BlackFile diketahui mencuri data dari server Salesforce dan SharePoint korban menggunakan fungsi API standar. Mereka secara spesifik mencari fail-fail yang mengandung istilah sensitif seperti “rahasia” (confidential) dan nomor jaminan sosial (SSN).
Dokumen yang dieksfiltrasi tersebut kemudian diunduh ke server yang dikendalikan penyerang dan dipublikasikan ke situs kebocoran data milik geng tersebut di dark web. Setelah data disandera, korban akan dihubungi dengan tuntutan tebusan melalui akun email karyawan yang disusupi atau alamat Gmail yang dibuat secara acak.
“Ini sering dilakukan dengan kedok sesi terautentikasi SSO (Single Sign-On) yang sah untuk menghindari pemicuan peringatan user-agent sederhana,” tambah RH-ISAC.
Tidak hanya meretas data, karyawan dari perusahaan yang disusupi (termasuk eksekutif senior) juga sering kali menjadi target upaya swatting—yakni membuat panggilan darurat palsu ke polisi/tim tanggap darurat agar menggerebek rumah korban. Penyerang menggunakan taktik teror fisik ini untuk memberikan tekanan ekstra pada korban mereka agar segera membayar tebusan.
Rekomendasi Mitigasi
Mandiant juga mengonfirmasi bahwa mereka saat ini sedang secara aktif merespons beberapa insiden vishing yang berujung pada pencurian data dan pemerasan oleh grup ini.
Untuk mengurangi tingkat keberhasilan serangan BlackFile, RH-ISAC sangat merekomendasikan agar organisasi segera memperkuat kebijakan penanganan panggilan telepon mereka, menegakkan verifikasi identitas multifaktor bagi penelepon internal, dan melakukan pelatihan rekayasa sosial berbasis simulasi secara rutin untuk staf garis depan.
