BlackFile Ancam Korban Pencurian Data dengan Teknik Extortion di Sektor Retail dan Perhotelan

Serangan BlackFile Meluas di Sektor Retail dan Perhotelan

Para peneliti keamanan siber memperingatkan bahwa kelompok ancaman BlackFile, yang diduga berafiliasi dengan The Com, terus melakukan serangan phishing suara dan rekayasa sosial dengan menyamar sebagai tim dukungan IT. Serangan ini telah menargetkan berbagai industri, termasuk kesehatan, teknologi, transportasi, logistik, grosir, serta sektor retail dan perhotelan.

Menurut laporan terbaru dari Unit 42 Palo Alto Networks, serangan BlackFile terhadap perusahaan di sektor retail dan perhotelan dimulai sejak Februari dan masih berlangsung hingga saat ini. Laporan ini dirilis bersama dengan Retail Hospitality Information Sharing and Analysis Center (RH-ISAC) serta indikator kompromi (IoC) yang dapat digunakan untuk mendeteksi serangan.

Modus Operandi BlackFile

Kelompok ini, yang juga dikenal dengan nama CL-CRI-1116, UNC6671, dan Cordial Spider, menargetkan korban secara oportunistik. Tujuan utama mereka adalah menekan perusahaan untuk membayar tebusan dalam jumlah besar, biasanya mencapai angka tujuh digit.

Menurut Matt Brady, peneliti utama di Unit 42, serangan BlackFile merupakan bagian dari gelombang serangan phishing suara yang lebih luas yang dilakukan oleh beberapa kelompok kejahatan siber. Peringatan serupa juga dikeluarkan oleh Google Threat Intelligence Group dan Okta pada Januari lalu.

Taktik Kasar: Swatting hingga Pencurian Data

RH-ISAC mengungkapkan bahwa BlackFile tidak segan menggunakan taktik brutal seperti swatting terhadap karyawan perusahaan, termasuk eksekutif, untuk meningkatkan tekanan dan memaksa korban membayar tebusan. Selain itu, kelompok ini juga menggunakan halaman phishing yang meniru layanan Single Sign-On (SSO) perusahaan untuk mencuri kredensial karyawan.

Setelah berhasil mencuri kredensial, BlackFile melakukan serangan rekayasa sosial lebih lanjut untuk mengakses akun berprivilege. Mereka bahkan mengekstrak direktori karyawan internal untuk mendapatkan daftar kontak eksekutif. Dengan mengakses akun-akun tingkat tinggi, kelompok ini dapat memperoleh akses luas ke lingkungan korban, seolah-olah mereka adalah eksekutif yang sah.

Data yang dicuri dan digunakan untuk extortion mencakup berbagai platform, termasuk lingkungan SaaS, izin API Microsoft Graph, akses API Salesforce, repositori internal, situs SharePoint, serta kumpulan data yang berisi nomor telepon karyawan dan catatan bisnis.

Situs Kebocoran Data untuk Tekanan Ekstra

BlackFile juga menciptakan situs kebocoran data untuk menekan korban yang menolak atau tidak memenuhi tuntutan tebusan. Menurut Unit 42, aktivitas kelompok ini terlihat konsisten sejak Februari.

Langkah-Langkah Perlindungan bagi Perusahaan

RH-ISAC memberikan rekomendasi kepada perusahaan untuk meningkatkan verifikasi identitas multi-faktor bagi penelepon dan membatasi tindakan dukungan IT yang dapat diselesaikan dalam satu panggilan tanpa eskalasi ke manajemen.

Serangan BlackFile menunjukkan bahwa ancaman siber semakin kompleks dan agresif. Perusahaan di sektor retail dan perhotelan perlu waspada serta menerapkan langkah-langkah keamanan yang ketat untuk melindungi data dan sistem mereka dari serangan semacam ini.