BlackNevas se consolida como ameaça global de alta gravidade

O grupo de ransomware BlackNevas se consolidou como uma ameaça relevante desde novembro de 2024, conduzindo ataques contra empresas e organizações de infraestrutura crítica na Ásia, Europa e América do Norte. O malware utiliza dupla estratégia: criptografa arquivos e rouba informações confidenciais, ameaçando expor os dados em até sete dias caso o resgate não seja pago.

Leia também
KillSec Ransomware em ataques ao setor de saúde no Brasil e região
Editor do Cursor AI tem falha de RCE

Pesquisadores da ASEC destacam que cerca de 50% dos ataques se concentram na região Ásia-Pacífico, atingindo países como Japão, Tailândia e Coreia do Sul. Na Europa, os alvos se estendem pelo Reino Unido, Itália e região do Báltico, enquanto na América do Norte houve casos reportados em Connecticut. Diferente do modelo Ransomware-as-a-Service, o grupo opera de forma independente, mantém site próprio de vazamento e declara parcerias com outros atores para pressionar vítimas.

O malware acrescenta a extensão “.-encrypted” aos arquivos comprometidos, evidenciando o ataque. Ele também aceita parâmetros que modificam seu comportamento, como /fast (criptografa apenas 1% do conteúdo), /full (criptografia completa) e /stealth (alteração de extensões e criação de notas de resgate). O método de criptografia combina chaves simétricas AES com chaves públicas RSA, impossibilitando a recuperação local dos dados.

O BlackNevas aplica segmentação para preservar a estabilidade do sistema, evitando criptografar extensões críticas como sys, dll, exe, log e arquivos específicos como NTUSER.DAT. Além disso, adota dois padrões de nome: arquivos comuns recebem nomes aleatórios com “.-encrypted”, enquanto documentos e imagens selecionados (doc, pdf, jpg, png, txt, entre outros) são prefixados com “trial-recovery”, demonstrando a capacidade de decriptar e pressionando pelo pagamento.

A ameaça é classificada como de alta gravidade, visto que combina criptografia avançada com roubo de dados, tornando as empresas vítimas de duplo risco: indisponibilidade operacional e vazamento de informações sensíveis. Especialistas recomendam medidas como backups offline, segmentação de rede, autenticação multifator e monitoramento constante para detectar exfiltrações de dados e reduzir os impactos.