El Grupo de Ransomware Blacknevas se ha convertido en una amenaza significativa desde noviembre de 2024, lanzando continuamente ataques devastadores contra empresas y organizaciones críticas de infraestructura en Asia, América del Norte y Europa.
Esta sofisticada operación de malware combina el cifrado de archivos con tácticas de robo de datos, amenazando con la información robada de fugas si las demandas de rescate no se cumplen dentro de los siete días.
El ransomware demuestra una estrategia de orientación particularmente agresiva, con aproximadamente el 50% de sus ataques centrados en la región de Asia y el Pacífico.
Los países como Japón, Tailandia y Corea del Sur han experimentado impactos sustanciales, mientras que los objetivos europeos abarcan Europa occidental y la región del Mar Báltico, incluidos el Reino Unido, Italia y Lituania. En América del Norte, el grupo ha dirigido específicamente a organizaciones en Connecticut.
Dirección de telegrama del actor de amenaza dentro de la nota de rescate (fuente – ASEC)
Investigadores de ASEC identificado que Blacknevas opera de forma independiente sin seguir el modelo tradicional de ransomware como servicio.
Los actores de amenaza mantienen su propio sitio de fuga de datos y reclaman asociaciones con grupos afiliados para presionar a las víctimas para que cumplan.
El malware agrega la extensión distintiva “.
A diferencia de muchas variantes de ransomware que incorporan técnicas de evasión anti-debuges o evasión de sandbox, BlackNevas adopta un enfoque diferente al apoyar múltiples argumentos de línea de comandos que modifican su comportamiento.
El malware incluye parámetros como “/Fast” para cifrar solo el uno por ciento del contenido del archivo, “/completo” para el cifrado completo de archivos y “/sigiloso” para cambiar las extensiones y crear notas de rescate durante el proceso de cifrado.
Implementación de cifrado avanzado y estrategia de orientación de archivos
El ransomware emplea un enfoque sofisticado de doble encriptación que combina claves simétricas AES con criptografía de clave pública RSA.
Durante el proceso de cifrado, BlackNevas genera una clave AES única para cada archivo, cifra el contenido y luego asegura la clave AES utilizando una clave pública RSA integrada antes de agregarlo al final del archivo encriptado.
El malware demuestra la orientación selectiva al excluir archivos críticos del sistema para mantener la estabilidad del sistema.
El entorno de prueba después del cifrado está completo y el escritorio cambia (fuente – ASEC)
Las extensiones protegidas incluyen SYS, DLL, EXE, LOG, BMP, VMEM, VSWP, VMXF, VMSD, ScoreBoard, NVRAM y VMSS, junto con archivos específicos como “Ntuser.dat” y su propia nota de Ransom “How_to_decrypt.txt”.
Curiosamente, Blacknevas crea dos patrones de nombre de archivo distintos durante el cifrado: los archivos estándar reciben nombres aleatorios con la extensión “-entrratida”, mientras que los tipos de documentos específicos que incluyen DOC, DOCX, HWP, JPG, PDF, PNG, RTF y TXT, los archivos están prefijados con “Recepción de prueba” como una demostración de la descripción de la descripción.
Nota de rescate (fuente – ASEC)
El proceso de verificación de cifrado implica verificar los valores de 8 bytes en las terminaciones de archivos para determinar el estado de cifrado y la clasificación de tipo de archivo.
Esta metodología elimina las posibilidades de descifrado local, ya que la clave privada de RSA permanece exclusivamente con los atacantes, lo que hace imposible la recuperación de archivos sin pagar el rescate o poseer capacidades criptográficas avanzadas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
