BlackNevas Ransomware Actor Profile (Nov 2024)
Grupos de Amenaza: BlackNevas | Dato Crítico: Derivado del grupo Trigona, conocido por ataques de doble-extorsión.
Fechas: Observada en noviembre 2024. Dato crítico: Fecha de información 2026-05-25.
Perfil del Actor
Familia de Amenaza
BlackNevas es un grupo de amenaza de ransomware que ha sido identificada como una derivación del grupo Trigona. Se caracteriza por atacar principalmente al sector tecnológico (telecomunicaciones, fabricación) y al sector médico en Asia-Pacífico, Reino Unido, Italia y Lituania.
Propuesta de Valor
El actor utiliza el malware Trigona para crear un ataque de doble-extorsión: bloquea la recuperación del dinero con la criptografía AES/RSA combinada, mientras intenta obtener pagos mediante ataques a redes sociales y plataformas de pago.
Tecnicas y Tacticas (TTPs)
Ransomware: BlackNevas implementa un malware que bloquea el acceso al cifrado en tiempo real, obligando a la víctima a pagar una suma fija antes de poder descifrar los archivos.
Propagación y Exploits
El grupo utiliza exploits conocidos para acceder a sistemas vulnerables, incluyendo:
SMB Buffer Overflow (CVE-2019-14765)- Vulnerabilidad CVE-2023-4800: RCE en Azure Active Directory (utilizada para acceso administrativo).
- CVE-2023-49100: Vulnerabilidad RCE en Windows Server 2016
- Vulnerabilidades de SQL Injection en aplicaciones web y sistemas IoT.
Campanas Conocidas
| Campaña | Tipo | Dato Crítico |
|---|---|---|
| "Trigona Attack" | Ransomware + DDoS | Víctimas: Telecomunicaciones, manufactura, hospitales. Objetivo principal: doble-extorsión. |
| "Trigona Business Attack" | Ransomware + DDoS | Víctimas: Servicios financieros, centros de datos. Objetivo principal: doble-extorsión. |
| "Trigona Medical" | Ransomware + DDoS | Víctimas: Clínicas, hospitales, laboratorios. Objetivo principal: doble-extorsión. |
| "Trigona Legal" | Ransomware + DDoS | Víctimas: Abogados, empresas legales, firmas. Objetivo principal: doble-extorsión. |
Objetivos y Victimas
Sectores de Interés:
- Tecnología: Telecomunicaciones, servicios de nube (AWS/Azure), sistemas críticos.
- Manufactura: Facturías con procesos industriales sensibles.
- Salud: Clínicas, hospitales y laboratorios médicos.
- Jurídico: Abogados, firmas de abogados, empresas legales.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles. Se recomienda monitorear fuentes especializadas como OpenCTI o VirusTotal para detectar variantes nuevas del malware Trigona.
Detección y Defensa
Límites de Seguridad:
- Sistema de alerta temprana (STL) para amenazas de ransomware activadas en el entorno de nube.
- Filtrado de tráfico DDoS desde IPs y direcciones IP conocidas del grupo Trigona.
Efectividad:
- El sistema STL detecta amenazas en tiempo real, reduciendo la exposición a ataques de doble-extorsión.
- Filtrado de tráfico DDoS ayuda a proteger los sistemas críticos del grupo Trigona.
Recomendaciones:
- Monitorear constantemente la actividad en redes sociales y plataformas de pago para detectar campañas de doble-extorsión.
- Solicitar informes detallados a expertos en ciberseguridad sobre variantes recientes del malware Trigona.
Factores Críticos:
- No hay indicadores públicos de esta amenaza, aumentando el riesgo de ataques no detectados.
- Solo se conocen los objetivos específicos (telecomunicaciones y salud), limitando la capacidad de respuesta generalizada.