Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

BLACKNEVAS: двухуровневое AES/RSA-шифрование, угроза для Азиатско-Тихоокеанского региона и Европы

1
3 мин
Программа‑вымогатель BLACKNEVAS, впервые обнаруженная в ноябре 2024 года, представляет собой новую и относительно сложную угрозу, нацеленную на широкий спектр отраслей в Азии, Северной Америке и Европе. Наибольшая концентрация инцидентов приходится на Азиатско‑Тихоокеанский регион — особенно на страны Юго‑Восточной и Восточной Азии, включая Японию, Таиланд и Корею. BLACKNEVAS использует двухуровневую модель шифрования: Особенности реализации, выделяющие BLACKNEVAS среди других программ‑вымогателей: Группа действует по классической для современных ransomware‑операторов схеме: компрометация инфраструктуры, эксфильтрация конфиденциальных данных и последующее шифрование с требованием выкупа, сопровождаемое угрозой публикации украденной информации. Региональная направленность атак (с уклоном в APAC) указывает на целенаправленные кампании против компаний в определённых отраслях. «Двухуровневое шифрование AES+RSA и проверка данных file‑content вместо простых проверок расширений делают задачу
Оглавление

Программа‑вымогатель BLACKNEVAS, впервые обнаруженная в ноябре 2024 года, представляет собой новую и относительно сложную угрозу, нацеленную на широкий спектр отраслей в Азии, Северной Америке и Европе. Наибольшая концентрация инцидентов приходится на Азиатско‑Тихоокеанский регион — особенно на страны Юго‑Восточной и Восточной Азии, включая Японию, Таиланд и Корею.

Ключевые факты

  • Первые случаи обнаружены в ноябре 2024 года.
  • Около 50% зафиксированных инцидентов — в Азиатско‑Тихоокеанском регионе; прочие цели включают Западную Европу и прибрежные государства Балтии, в числе которых Великобритания, Италия и Литва.
  • Поведение группы похоже на другие ransomware‑операции: шифрование файлов, эксфильтрация конфиденциальных данных и последующие угрозы раскрытия при отказе платить выкуп.

Технические особенности

BLACKNEVAS использует двухуровневую модель шифрования:

  • сначала файлы шифруются симметричным ключом AES;
  • затем сам AES‑ключ шифруется с использованием открытого ключа RSA, что затрудняет восстановление данных без приватного ключа злоумышленников.

Особенности реализации, выделяющие BLACKNEVAS среди других программ‑вымогателей:

  • отсутствие встроенных средств защиты от отладки и обхода песочницы, что упрощает анализ вредоносного кода для исследователей;
  • возможность управления поведением через аргументы командной строки — например, параметры /fast или /full изменяют степень шифрования;
  • по умолчанию (если аргументы не заданы) шифруются только первые 10% от общего размера файла;
  • исключение критически важных системных каталогов (включая System32 и Windows) из процесса шифрования;
  • нестандартный механизм определения уже зашифрованных файлов: вместо проверки расширений BLACKNEVAS анализирует конкретные значения данных внутри файла, что повышает устойчивость к простым обходам и отличает его от многих других вариаций.

Тактика и оперативная схема

Группа действует по классической для современных ransomware‑операторов схеме: компрометация инфраструктуры, эксфильтрация конфиденциальных данных и последующее шифрование с требованием выкупа, сопровождаемое угрозой публикации украденной информации. Региональная направленность атак (с уклоном в APAC) указывает на целенаправленные кампании против компаний в определённых отраслях.

«Двухуровневое шифрование AES+RSA и проверка данных file‑content вместо простых проверок расширений делают задачу восстановления без приватного ключа практически невыполнимой», — отмечают аналитики.

Что это означает для компаний

  • Из‑за применения RSA для шифрования AES‑ключей восстановление данных без взаимодействия с злоумышленниками крайне затруднено.
  • Отсутствие anti‑debug и sandbox‑evasion облегчает профиль исследователям, но не снижает опасность для конечных систем.
  • Нестандартная логика определения уже зашифрованных файлов может нарушить привычные подходы детектирования на основе расширений, поэтому некоторые защитные средства могут пропускать активность.

Рекомендации по защите

  • Регулярно создавать надёжные резервные копии и проверять процедуру восстановления; хранить бэкапы офлайн или в изолированных средах.
  • Ограничить привилегии учетных записей и сегментировать сеть, чтобы уменьшить распространение при компрометации.
  • Мониторить аномальную активность и запуск процессов с параметрами командной строки; учитывать, что /fast и /full могут изменять поведение шифровальщика.
  • Использовать поведенческие механизмы обнаружения, ориентированные на анализ содержимого файлов, а не только на расширения.
  • Обучать персонал фишинговой осведомлённости — первые векторы входа часто связаны с социальной инженерией.

Вывод

BLACKNEVAS — новая относительно целенаправленная угроза с техникой, затрудняющей восстановление данных и обнаружение традиционными средствами. В свете её региональной активности в APAC и присутствия инцидентов в Европе и Северной Америке организациям следует пересмотреть меры превенции, усилить резервное копирование и поведенческий мониторинг, а также готовиться к быстрому реагированию на инциденты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "BLACKNEVAS: двухуровневое AES/RSA-шифрование, угроза для Азиатско-Тихоокеанского региона и Европы".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются