Ransomware BlackNevas
Recientemente se ha detectado un nuevo ransomware llamado Blacknevas que se ha convertido en una amenaza bastante peligrosa que actúa como la mayoría de los grupos de ransomware, aunque con algunas particularidades que lo hacen más difícil de detectar y eliminar. Básicamente, lo que hace Blacknevas es infiltrarse en el sistema de la víctima sin que esta se dé cuenta, normalmente a través de correos electrónicos maliciosos con archivos adjuntos o sitios web comprometidos. Una vez que logra entrar en el sistema, empieza a ejecutar en segundo plano y lo primero que hace es desactivar sistemas de seguridad como antivirus y Windows defender para pasar desapercibido por el sistema.
Después de eso, el ransomware escanea todo el equipo o infraestructura comprometida, incluyendo discos duros, unidades externas conectadas, carpetas compartidas en red y, si logra obtener permisos, incluso servidores. Su objetivo principal es encontrar archivos críticos para la victima como documentos, imágenes, bases de datos, hojas de cálculo, etc. Una vez que identifica todos estos archivos, comienza el proceso de cifrado. Utiliza algoritmos bastante fuertes con claves AES, lo cual hace casi imposible recuperar los archivos sin la clave privada de descifrado.
Lo más preocupante es que Blacknevas no solo cifra los archivos, sino que también elimina las copias de seguridad del sistema, para asegurarse de que la víctima no tenga forma de recuperar sus datos. Cuando ya terminó de encriptar todo, cambia las extensiones de los archivos y deja una nota de rescate. En esa nota te explican que tus datos han sido comprometidos.
Además, hay casos en los que Blacknevas también exfiltra información antes de encriptar, lo que se conoce como método de doble extorsión, en el cual si no se paga el rescate de la información, no solo perderás la información comprometida, sino que también Blacknevas amenaza con pueden publicar o vender la información en su sitio de filtración, telegram y en la dark web.
Sitio de filtraciones del ransomware Blacknevas [1]
Esto lo hace todavía más peligroso, sobre todo para empresas que manejan datos confidenciales. La forma de técnicas y tácticas que utiliza este ransomware representa su agresividad y el impacto que puede generar en sus víctimas, lo que lo convierte una amenaza en evolución difícil de eliminar una vez que ataca, con un enfoque calculador tanto en el cifrado como en la presión psicológica que ejerce sobre la víctima para forzar el pago del rescate.
Taxonomía
|
Tactic |
ID |
Name |
|
Initial Access |
T1566 |
Phishing |
|
Execution |
T1059 |
Command and Scripting Interpreter |
|
Defense Evasion |
T1055 |
Process Injection |
|
T1070.004 |
Removal: File Deletion |
|
|
T1083 |
File and Directory Discovery |
|
|
T1112 |
Modify Registry |
|
|
Discovery |
T1012 |
Query Registry |
|
T1027 |
Obfuscated Files or Information |
|
|
T1082 |
System Information Discovery |
|
|
Impact |
T1561.0001 |
Disk Content Wipe |
|
T1486 |
Data Encrypted for Impact |
|
|
T1489 |
Service Stop |
|
|
T1490 |
Inhibit System Recovery |
Indicadores de compromiso
|
IOC |
Tipo |
|
23642a78addcffd124db133a2dd2fcd2d1bdb060dd1e41da33cb18eec7a88867 |
sha256 |
|
2b9fe8a2629727470be1c928f7c9be7e2ea6cc22fb12f971902bf9cea8b16afb |
sha256 |
|
360758c296310ba428d0d52c90e31c05fc43d5889282fa840283cf468f2378e8 |
sha256 |
|
3d09e930305cb3aa4ca54a39b0e3749f083d432f202606c8adac8455014b47fc |
sha256 |
|
43f145fccec00f1e100ec3377eaf0ab60df3b9c5291b8011e05141cc04704be1 |
sha256 |
|
49fcbd606ff10d4661e222b8910ab7829d1668e3c97f1bab7eb51e8ec7d799a5 |
sha256 |
|
501821a19ccf59830789849beff94238736adb4b213870a511890c5c8efab2a6 |
sha256 |
|
623f3e98908962669e48edd414dbb67e9d4e204f677998fdcc9c2d790816a67f |
sha256 |
|
713392f009bc133f24b3271379a4ac147e1a7782b6a1ac957c1fda69d676b550 |
sha256 |
|
840b1c580bfd15ca3eb1cc94cf479f63b93285d2599bc2e3cd361e3f5a340f19 |
sha256 |
|
8a2d6d27ffcc66400a640d3c9c9e6becb90c04c5bab452cac56f999c48a04d63 |
sha256 |
|
910cc03d64bf09f53cdf3b83068cc46368c23a061c2e1ed5df0e3a35d6c9e084 |
sha256 |
|
95e744ddcc2e8f89f6c6e25503eff2eb5e70e98f6989bb4a4e93f17b09448e78 |
sha256 |
|
9d9c146910f294b3e2a755f76e8066cd2edfac057ff54f00f405e2f9e8b9e51a |
sha256 |
|
9d9c146910f294b3e2a755f76e8066cd2edfac057ff54f00f405e2f9e8b9e51a |
sha256 |
|
a0630e2a81775e8334ea9f8cac73cebf1b9a70507ea3347c0c2eba82c80219a6 |
sha256 |
|
a331504acf589be5d11202232a7a93eeb4fe6b053beea231d9a0a661bcaf3fd6 |
sha256 |
|
b0dfaf509de38749c49afcb3cd34d27126044bb77cc16896b02ebced6f95db02 |
sha256 |
|
b2353fce403b079735a606294c4ffc20a71f1c6b16ec15e94f554beafcddd1ea |
sha256 |
|
bad3c2f72ef2be522a554a9615dc93027416a3d4048f77519fca5104fabba1f9 |
sha256 |
|
bf4adad2eb1163369c133ae61c181a3f91ef8640a457e9c4e72d77a60fbfa7ab |
sha256 |
|
c08a752138a6f0b332dfec981f20ec414ad367b7384389e0c59466b8e10655ec |
sha256 |
|
c0fc61631a20c373ce17e939e09cfb4f5179c9e0788e80079b4ee8986afe89bd |
sha256 |
|
d953bce4d87f5837ce318481e3a1b6617cf64af976043d3b4b4866475bb31972 |
sha256 |
|
def75a41435dc28430097a7e116b2d17526ce2b0172995618f2749b0d732f7ea |
sha256 |
|
e7706a633f24679c7550a31b96088dda8f772c98f64daee7cfbf0dc17a4a8338 |
sha256 |
|
eb8cbc4a0eae33bfdc4ecb99d033c81224b005e55588ceb86346f2b2d3fd790f |
sha256 |
|
f25f76a85ded0d4d285d9ae5482d8fe07dade3e241853d00b17642d7873733e8 |
sha256 |
|
ae5cec8b64404037d86f12d1261e669819c84675c74fe09a57cda5099109d8e2 |
sha256 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- SentinelOne. (2025, Mayo 01). BlackNevas. SentinelOne. Recuperado el 17 de Septiembre de 2025, en: https://www.sentinelone.com/anthology/blacknevas/
-
Kathir, M. (2025, Septiembre 15). BlackNevas ransomware encrypts files, and exfiltrates corporate data. GBHackers Security | #1 Globally Trusted Cyber Security News Platform. Recuperado el 17 de septiembre de 2025, en: https://gbhackers.com/blacknevas-ransomware/
-
BlackNevas Ransomware encripta archivos y roba datos. (2025, Septiembre 15). SecNews. Recuperado el 17 de septiembre de 2025, en: https://www.secnews.gr/661571/blacknevas-ransomware-kryptografei-arxeia/
