Nuevo Grupo Nova Ransomware
Nuevos grupos de ransomware se van formando con el pasar del tiempo. Esto se debe a lo atractivo que resulta este “modelo de negocios”, en el cual se obtiene una buena suma de dinero al llevar a cabo los ataques, por lo que nuevos grupos se van sumando a la escena.
En esta ocasión, se ha detectado un nuevo grupo que se hace llamar RAlord —o se hacía—, ya que al cabo de un tiempo se renombró como “Nova”. No se deja muy en claro el porqué, pero es una decisión reciente.
Nova Ransomware es un grupo que surgió a finales de marzo de 2025 (bajo el nombre RAlord). La mayoría de sus víctimas fueron cobradas en abril del presente año, sumando un total de 10 víctimas durante ese mismo mes. En total, Nova ha cobrado 19 víctimas desde su aparición.
Este grupo utiliza la táctica común de la doble extorsión. Esto significa que primero exfiltran los archivos a sus servidores para luego encriptarlos. Una vez encriptados, se pide un rescate para desencriptar los archivos y evitar que sean publicados en su sitio de filtraciones.
Sitio de filtraciones de Nova [1]
La primera parte de la infección se lleva a cabo mediante un archivo construido con Rust (lenguaje de programación). Acto seguido, se crean ejecutables por medio de CMD que inician el cifrado de los archivos.
Imagen de los ejecutables ya creados [1]
Por último, se genera una nota de rescate que da instrucciones sobre cómo recuperar los archivos y establece el medio de comunicación entre la víctima y el grupo.
Imagen de la nota de rescate de Nova [1]
Actualmente, Nova dirige sus ataques de manera aleatoria. Sin embargo, anteriormente este grupo se enfocaba exclusivamente en organizaciones sin fines de lucro y escuelas, pero eso cambió mediante un comunicado en su página, en el cual especificaban que, a partir de abril, estas ya no serían sus víctimas objetivo.
Taxonomia MITRE ATT&CK
|
Táctica |
Técnica |
ID |
|
Initial Access |
Exploit Public-Facing Application |
T1190 |
|
Execution |
Native API |
T1106 |
|
Persistence |
Hijack Execution Flow |
T1574 |
|
Privilege Escalation |
Hijack Execution Flow |
T1574 |
|
Defence Evasion |
Impair Defences |
T1562 |
|
Discovery |
Network Share Discovery |
T1135 |
|
Lateral Movement |
Remote Services (PsExec, SMB) |
T1021 |
|
Exfiltration |
Exfiltration Over C2 Channels |
T1041 |
|
C2 |
Application Layer Protocol |
T1071.001 |
|
Impact |
Data Encrypted for Impact |
T1486 |
|
Inhibit System Recovery |
T1490 |
Indicadores de Compromiso
MD5: be15f62d14d1cbe2aecce8396f4c6289
SHA-256: 456B9ADAABAE9F3DCE2207AA71410987F0A571CD8C11F2E7B41468501A863606
ONION: ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd.onion
ONION: ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd.onion
ONION: ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj2laiuuid.onion
Recomendaciones
-
Si alguna vulnerabilidad le afecta, considere actualizar o migrar a una versión con la vulnerabilidad corregida de acuerdo a la tabla de versiones afectadas.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- SONICWALL. (2025. Abril 11) Nova RaaS: The Ransomware That ‘Spares’ Schools and Nonprofits—For Now. Recuperado el 06 de mayo del 2025 en: https://www.sonicwall.com/blog/nova-raas-the-ransomware-that-spares-schools-and-nonprofits-for-now
- CYBLE. (2025. Abril 17) Threat Actor Profile: RALord Ransomware Group. Recuperado el 06 de mayo del 2025 en: https://cyble.com/threat-actor-profiles/ralord-ransomware-group/
- WATCHGUARD. (S.F.) Ransomware - Nova. Recuperado el 06 de mayo del 2025 en: https://www.watchguard.com/wgrd-security-hub/ransomware-tracker/nova
