Type virus: spyware, Advanced Persistent Threat (APT), trojan
BlackEnergy is een trojan die wordt gebruikt om DDoS-aanvallen, cyberspionage en informatievernietigingsaanvallen uit te voeren. Rond 2014 begon een specifieke gebruikersgroep van de BlackEnergy-aanvallers SCADA-gerelateerde plug-ins te implementeren bij slachtoffers in ICS-omgevingen (Industrial Control System) en energiemarkten over de hele wereld. Dit duidde op een unieke skillset ver boven het niveau van de gemiddelde DDoS-botnet-aanvaller.
Sinds medio 2015 is de BlackEnergy APT-groep actief via spear-phishingmails met als bijlage schadelijke Excel-documenten met macro's die de computers op het uitgekozen netwerk infecteren. In januari van dit jaar ontdekten onderzoekers van Kaspersky Lab een nieuw schadelijk document, dat het systeem met een BlackEnergy-trojan infecteert. In tegenstelling tot de Excel-documenten die in de vorige aanvallen werden gebruikt, ging het hier om Microsoft Word-documenten.
Bij het openen van het document ziet de gebruiker een dialoogvenster dat aanbeveelt macro's in te schakelen om de inhoud te kunnen bekijken. Het inschakelen van macro's activeert ook de BlackEnergy-malware-infectie.
De BlackEnergy APT-groep is actief in de volgende sectoren:
De groep richt zich tegen Oekraïense instellingen, vooral binnen de energiesector, overheid en media. De groep valt wereldwijd ook ISC/SCADA- en energiebedrijven aan. Je loopt mogelijk ook gevaar als je eigenaar bent van dit type onderneming of hiermee of hiervoor werkt.
Kaspersky Lab-producten detecteren de verschillende trojans die gebruikt worden door BlackEnergy, zoals:
Indicatoren van een gecompromitteerd systeem vind je in een blogpost op Securelist.
Een standaard anti-malwareoplossing is niet genoeg. Om een BlackEnergy-malwareaanval te voorkomen, raadt Kaspersky Lab het gebruik van een meerlaagse benadering aan die het volgende combineert:
Kaspersky Endpoint Security for Business Advanced