--- BlackNevas Ransomware — Perfil del Grupo | Merabytes Threat Intel

Grupo BlackNevas

Perfil del Grupo

  • Nombre BlackNevas
  • Aliases Trial Recovery, Trial_recovery
  • Activo desde Sep 2024
  • Activo hasta Activo
  • Cifrado AES-256-OFB (IV único por fichero) + RSA-4112 (footer)
  • Modelo Closed Group (sin RaaS)
  • Objetivos Windows, Linux, NAS, VMware ESXi — Finanzas, Telecomunicaciones, Manufactura, Sanidad, Legal
  • Leak site Dark Web

MITRE ATT&CK

  • T1190 Exploit Public-Facing Application (CVE-2024-37085, CVE-2021-40539)
  • T1078 Valid Accounts — Credential Brute Force / Stuffing
  • T1547 Boot/Logon Autostart (Registry Run Keys)
  • T1486 Data Encrypted for Impact
  • T1490 Inhibit System Recovery (Shadow Copies)
  • T1567 Exfiltration Over Web Service
  • T1489 Service Stop (antes de cifrar)

¿Estás protegido frente a BlackNevas?

Nuestras reglas de detección XDR están actualizadas con las últimas TTPs del grupo. Protege tu infraestructura ahora.

BlackNevas
Severidad Critical

BlackNevas (también conocido como Trial Recovery o Trial_recovery) es un grupo de ransomware activo desde septiembre de 2024, derivado directo del código de Trigona ransomware con posible ancestro técnico adicional en la familia CryLock (no confirmado). Su threat level según Halcyon AI es 7.3/10.

Opera sin modelo RaaS, con payloads para Windows (32/64-bit), Linux (32/64-bit), ARM, NAS y VMware ESXi. No gestiona un Data Leak Site propio — la presión de filtración la delega a través de una red de seis partners: Kill Security, Hunters International, DragonForce, Blackout, Embargo Team, Mad Liberator y MADDLL32, con broker de datos HumOR.

Las modalidades de extorsión van mucho más allá del “paga o publicamos”: incluyen data auctions, doxxing, negotiation leaks, legal assistance y victim client communication. Plazo estándar: 7 días.

🔑 Resumen del ataque

Fase Descripción
Acceso inicial CVE-2021-40539 (ManageEngine, CVSS 9.8) o fuerza bruta RDP/MSSQL o spear-phishing
Reconocimiento Enumeración drives A–Z, network share discovery (SMB)
Credential Access DCSync + Mimikatz LSASS + WDigest registry + Veeam credentials vía PostgreSQL
Instalación RAT MeshAgent (wvspbind.exe), AnyDesk, AteraAgent, ScreenConnect, TeamViewer, LogMeIn
Lateral Movement SMB (/-lan), PSEXEC/PAEXEC, Bitvise SSH para ESXi
Exfiltración Rclone como system.exe → MEGA + PCloud
Persistencia Registry Run Keys, cuentas sys/sys1, servicios de autoarranque MeshAgent/AnyDesk
Impacto Cifrado + Shadow Copy deletion + Disk Wipe (/wipe) + auto-borrado /delete
Extorsión 7 días, multi-millón, 6 partners de filtración

🔓 Acceso inicial

El vector más habitual es la explotación de CVE-2021-40539 — un bypass de autenticación REST API con RCE en Zoho ManageEngine ADSelfService Plus (CVSS 9.8, en el catálogo CISA KEV) que no requiere credenciales previas. Como alternativas documentadas: fuerza bruta contra MSSQL y RDP expuestos, y campañas de spear-phishing.

Una vez dentro, la fase de escalada usa CVE-2024-37085: creando el grupo de dominio ESX Admins (via net.exe /domain), cualquier miembro obtiene privilegios completos de administrador en hosts VMware ESXi sin autenticación adicional.

🔑 Credential Access

Lo que distingue a BlackNevas en esta fase es la variedad de técnicas combinadas:

DCSync contra Domain Controllers para extraer hashes de credenciales (T1003.006)
Mimikatz para dumping desde LSASS en memoria (T1003.001)
✔ Modificación de registro WDigest (UseLogonCredential=1) para almacenar credenciales en claro
✔ Extracción de credenciales de Veeam Backup directamente desde la base de datos PostgreSQL

🛠️ Herramientas de acceso remoto (sin RAT propio)

BlackNevas no despliega un RAT propio. En su lugar abusa de herramientas RMM legítimas que pasan desapercibidas en muchos entornos corporativos:

MeshAgent — desplegado como servicio wvspbind.exe, oculto del Panel de Control vía modificación de registro
AteraAgent — instalado vía MSI, persiste como servicio de autoarranque
SplashTop, ScreenConnect, AnyDesk, LogMeIn, TeamViewer

Sin C2 propio post-cifrado. La infraestructura C2 observada durante intrusiones activas está en Francia.

📤 Exfiltración

Robo de datos antes del cifrado para sostener la doble extorsión. Método documentado: Rclone (frecuentemente renombrado como system.exe) sincronizando a MEGA y PCloud. El foco es en drives compartidos y servidores de ficheros con datos corporativos sensibles.

🔒 Persistencia

✔ Registry Run Keys apuntando a rutas no estándar (T1547.001)
✔ Configuración del payload embebida en sección de recursos del binario (CFGS)
✔ Cuentas locales sys o sys1 añadidas a Administradores locales y Remote Desktop Users (T1136.001)
✔ MeshAgent y AnyDesk instalados como servicios de autoarranque

🔐 Cifrado

AES-256-OFB con IV único por fichero. La clave maestra de 32 bytes queda en el footer del fichero, cifrada primero con AES-CBC y luego con RSA-4112. La variante ESXi apunta específicamente a ficheros .vmdk y .vmsn en /vmfs.

trial-recovery.[random].[random]-ENCRYPTED
trial-recovery.[random].[random]-encrypted
trial-recovery.[random].[random]-erased

Nota de rescate: how_to_decrypt.txt.

💥 Impacto y destrucción

La fase de impacto es deliberadamente destructiva más allá del cifrado:

Shadow Copy deletion — elimina todos los puntos de restauración antes del cifrado
Disk Wipe — parámetros /wipe y /wipeonly llenan el disco hasta provocar inestabilidad del sistema (T1561.001)
Auto-eliminación del payload vía parámetro /delete para borrar artefactos forenses

🌍 Víctimas y geografía

Halcyon AI documenta 12 víctimas conocidas y 28 muestras SHA-256 identificadas. Contra lo que se creía inicialmente, el foco primario es la región META (Medio Oriente, Turquía y África — especialmente UAE y Qatar), donde la mayoría de víctimas han optado por pagar. Como foco secundario: Asia-Pacífico, Europa Occidental y Norteamérica.

🔗 Fuentes

  • Halcyon AI Threat Group — BlackNevas
  • WatchGuard Ransomware Tracker — BlackNevas
  • SentinelOne Anthology — BlackNevas
  • ASEC AhnLab — BlackNevas Ransomware Analysis
  • HivePro Threat Advisory — BlackNevas
Sectores Objetivo

Sectores Objetivo

Sectores de actividad en los que el grupo BlackNevas ha concentrado sus ataques.

Los activos de alto valor, la presión regulatoria y la baja tolerancia al tiempo de inactividad convierten a las instituciones financieras en objetivo prioritario. BlackNevas amenaza con filtrar datos a partners como Kill Security o DragonForce si no se paga el rescate.

La criticidad de los servicios de telecomunicaciones y el acceso privilegiado a redes de clientes hacen que estos entornos sean especialmente atractivos para la doble extorsión.

Entornos con sistemas Windows legacy, escasa segmentación OT/IT y uso frecuente de RDP expuesto son el terreno ideal para la propagación de BlackNevas.

La sensibilidad de los datos de pacientes y la dependencia de sistemas críticos 24/7 aumentan la probabilidad de pago del rescate en organizaciones sanitarias.

Bufetes de abogados y consultoras manejan datos altamente confidenciales de múltiples clientes, lo que eleva el impacto reputacional de una filtración y maximiza el poder de negociación del atacante.

Infraestructura

Infraestructura Objetivo

Tipos de infraestructura y vectores de entrada documentados en los ataques de BlackNevas.

BlackNevas explota activamente CVE-2024-37085 para obtener privilegios de administrador completos en hosts ESXi mediante la creación del grupo de dominio 'ESX Admins'. Adicionalmente, CVE-2021-40539 (Zoho ManageEngine ADSelfService Plus, CVSS 9.8, CISA KEV) permite RCE sin autenticación y es usado como vector de acceso inicial para comprometer infraestructura interna antes de pivotar a ESXi.

BlackNevas realiza ataques de fuerza bruta y credential stuffing contra servicios RDP y SQL Server expuestos. Una vez dentro, se mueve lateralmente usando credenciales robadas y SMB.

Dispone de payloads ARM específicos para dispositivos NAS. Los shares de red son cifrados directamente, incluyendo backups accesibles vía SMB.

Además de Windows, BlackNevas tiene payloads para Linux (32/64-bit) y arquitectura ARM, lo que amplía significativamente su superficie de impacto respecto a su predecesor Trigona.

Como patrón heredado de Trigona, BlackNevas elimina las Shadow Copies de Windows y usa parámetros /erase o /shdwn para destruir datos antes o después del cifrado, eliminando cualquier posibilidad de recuperación sin pagar.

Reglas XDR

Detection & Response Rules

Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.

Detecta la creación del grupo 'ESX Admins' via net.exe o PowerShell. CVE-2024-37085 permite que cualquier miembro de este grupo obtenga privilegios de administrador completos en hosts VMware ESXi sin autenticación adicional.

S1QL v2 
EventType = "Process Creation"
AND (TgtProcName In ("net.exe", "net1.exe")
  AND TgtProcCmdLine ContainsCIS "group"
  AND TgtProcCmdLine ContainsCIS "ESX Admins"
  AND TgtProcCmdLine ContainsCIS "/add"
  AND TgtProcCmdLine ContainsCIS "/domain")
OR (TgtProcName In ("powershell.exe", "pwsh.exe")
  AND TgtProcCmdLine ContainsCIS "ESX Admins")

Detecta eventos de seguridad Windows (AD) de creación o modificación de grupos con nombre 'ESX Admins'. Cubre los event IDs 4727/4728/4731/4737/4754/4755/4756.

S1QL v2 
EventType In ("Group Created", "Member Added to Group", "Group Changed")
AND EventMessage ContainsCIS "ESX Admins"

Detecta el uso de esxcli para matar VMs antes de cifrar los volúmenes. BlackNevas detiene todas las VMs activas en ESXi para liberar los discos .vmdk antes de ejecutar el payload de cifrado.

S1QL v2 
event.category = 'process'
AND tgt.process.image.path endswith '/esxcli'
AND tgt.process.cmdline contains 'vm process'
AND tgt.process.cmdline contains 'kill'

Detecta el borrado o redimensionamiento de Shadow Copies usando vssadmin, wmic, diskshadow, wbadmin o bcdedit. BlackNevas elimina los puntos de restauración antes del cifrado para impedir la recuperación sin pagar.

S1QL v2 
EventType = "Process Creation"
AND (
  (TgtProcName In ("powershell.exe", "pwsh.exe", "wmic.exe", "vssadmin.exe", "diskshadow.exe")
    AND TgtProcCmdLine ContainsCIS "shadow"
    AND TgtProcCmdLine ContainsCIS "delete")
  OR (TgtProcName = "wbadmin.exe"
    AND TgtProcCmdLine ContainsCIS "delete catalog")
  OR (TgtProcName = "bcdedit.exe"
    AND TgtProcCmdLine ContainsCIS "recoveryenabled no")
  OR (TgtProcName = "bcdedit.exe"
    AND TgtProcCmdLine ContainsCIS "bootstatuspolicy ignoreallfailures")
)

Detecta escritura en claves Run/RunOnce apuntando a rutas sospechosas (AppData, Temp, Downloads). BlackNevas persiste via Run Keys con binarios en ubicaciones no estándar.

S1QL v2 
event.category = 'registry' AND (registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\Run' OR registry.keyPath contains '\\Software\\WOW6432Node\\Microsoft\\Windows\\CurrentVersion\\Run' OR registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run') AND (registry.value contains '\\AppData\\' OR registry.value contains '\\Temp\\' OR registry.value contains '\\Downloads\\' OR registry.value contains '\\Users\\Public\\' OR registry.value contains '\\ProgramData\\')

Detecta procesos que escriben claves Run/RunOnce y cuyo ejecutable se lanzó desde carpetas de descarga o temporales. Indicador de instalación de persistencia post-phishing.

S1QL v2 
event.category = 'registry' AND (registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\Run' OR registry.keyPath contains '\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce') AND (src.process.image.path contains '\\Downloads\\' OR src.process.image.path contains '\\Temporary Internet Files\\' OR src.process.image.path contains '\\AppData\\Local\\Microsoft\\Olk\\Attachments\\')

Detecta intentos de login fallidos en SQL Server (EventID 18456). BlackNevas realiza fuerza bruta contra MSSQL expuesto como vector de acceso inicial. Regla de baja severidad individual; alta severidad en volumen (>10 en 5 min).

S1QL v2 
EventType = "SQL Authentication Failure"
AND EventID = 18456
AND SrcProcName ContainsCIS "MSSQL"

Detecta intentos de login fallidos en MSSQL desde IPs externas (no RFC1918). Alta fidelidad — login fallido en MSSQL desde internet es indicador sólido de reconocimiento o brute force activo.

S1QL v2 
EventType = "SQL Authentication Failure"
AND EventID = 18456
AND SrcProcName ContainsCIS "MSSQL"
AND NOT EventMessage ContainsCIS "CLIENT: 10."
AND NOT EventMessage ContainsCIS "CLIENT: 192.168."
AND NOT EventMessage ContainsCIS "CLIENT: 172.16."
AND NOT EventMessage ContainsCIS "CLIENT: 172.17."
AND NOT EventMessage ContainsCIS "CLIENT: 172.18."
AND NOT EventMessage ContainsCIS "CLIENT: 172.19."
AND NOT EventMessage ContainsCIS "CLIENT: 172.20."
AND NOT EventMessage ContainsCIS "CLIENT: 172.31."

Detecta MeshAgent (wvspbind.exe en BlackNevas) lanzando cmd.exe o PowerShell. Indica uso del canal MeshCentral/MeshAgent para ejecución remota de comandos durante la intrusión activa.

S1QL v2 
event.category = 'process' AND (src.process.image.path endswith '\\meshagent.exe' AND (tgt.process.image.path endswith '\\cmd.exe' OR tgt.process.image.path endswith '\\powershell.exe' OR tgt.process.image.path endswith '\\pwsh.exe'))

Detecta ejecución de MeshAgent renombrado (BlackNevas lo despliega como wvspbind.exe, oculto del Panel de Control). El parámetro --meshServiceName delata el binario independientemente del nombre del ejecutable.

S1QL v2 
event.category = 'process' AND tgt.process.cmdline contains '--meshServiceName' AND NOT tgt.process.image.path endswith '\\meshagent.exe'

Detecta instalación de MeshAgent como servicio Windows (EventID 7045 de Service Control Manager). BlackNevas instala MeshAgent como servicio de autoarranque para persistencia.

S1QL v2 
EventType = "Service Installed"
AND EventID = 7045
AND (ServiceImagePath ContainsCIS "MeshAgent.exe" OR ServiceName ContainsCIS "Mesh Agent")

Detecta ejecución de AnyDesk. Usado por BlackNevas como canal C2 alternativo durante la intrusión activa junto con MeshAgent. Baja fidelidad individualmente — contextualizar con otras alertas.

S1QL v2 
EventType = "Process Creation"
AND (TgtProcName In ("AnyDesk.exe", "AnyDeskMSI.exe")
  OR TgtProcDisplayName ContainsCIS "AnyDesk"
  OR TgtProcPublisher ContainsCIS "AnyDesk Software GmbH")

Detecta instalación de AteraAgent via MSI (EventID 1033). BlackNevas instala AteraAgent como RMM alternativo para mantener acceso remoto persistente.

S1QL v2 
EventType = "Application Installed"
AND EventID = 1033
AND EventMessage ContainsCIS "AteraAgent"

Detecta ejecución de ScreenConnect/ConnectWise con parámetros de sesión de acceso (e=Access&, y=Guest&). BlackNevas usa ScreenConnect como herramienta de acceso remoto adicional.

S1QL v2 
event.category = 'process' AND tgt.process.cmdline contains 'e=Access&' AND tgt.process.cmdline contains 'y=Guest&' AND tgt.process.cmdline contains '&p=' AND tgt.process.cmdline contains '&c=' AND tgt.process.cmdline contains '&k='

Detecta inicio de sesión TeamViewer (TeamViewer_Desktop.exe lanzado por TeamViewer_Service.exe con parámetro --IPCport). BlackNevas usa TeamViewer como canal de acceso remoto.

S1QL v2 
event.category = 'process' AND (tgt.process.image.path = 'TeamViewer_Desktop.exe' AND src.process.image.path = 'TeamViewer_Service.exe' AND tgt.process.cmdline endswith 'TeamViewer_Desktop.exe --IPCport 5939 --Module 1')

Detecta ejecución del servicio LMIGuardianSvc (LogMeIn). BlackNevas usa LogMeIn como herramienta de acceso remoto adicional para mantener persistencia C2.

S1QL v2 
EventType = "Process Creation"
AND (TgtProcDisplayName ContainsCIS "LMIGuardianSvc"
  OR TgtProcPublisher ContainsCIS "LogMeIn, Inc.")
Tags: ransomware blacknevas trial-recovery trigona esxi linux windows double-extortion xdr sentinelone