Overslaan naar hoofdinhoud
resources

BlackEnergy APT-aanvallen in Oekraïne

DEFINITIE VAN VIRUS

Type virus: spyware, Advanced Persistent Threat (APT), trojan

Wat is BlackEnergy?

BlackEnergy is een trojan die wordt gebruikt om DDoS-aanvallen, cyberspionage en informatievernietigingsaanvallen uit te voeren. Rond 2014 begon een specifieke gebruikersgroep van de BlackEnergy-aanvallers SCADA-gerelateerde plug-ins te implementeren bij slachtoffers in ICS-omgevingen (Industrial Control System) en energiemarkten over de hele wereld. Dit duidde op een unieke skillset ver boven het niveau van de gemiddelde DDoS-botnet-aanvaller.

Sinds medio 2015 is de BlackEnergy APT-groep actief via spear-phishingmails met als bijlage schadelijke Excel-documenten met macro's die de computers op het uitgekozen netwerk infecteren. In januari van dit jaar ontdekten onderzoekers van Kaspersky Lab een nieuw schadelijk document, dat het systeem met een BlackEnergy-trojan infecteert. In tegenstelling tot de Excel-documenten die in de vorige aanvallen werden gebruikt, ging het hier om Microsoft Word-documenten.

Bij het openen van het document ziet de gebruiker een dialoogvenster dat aanbeveelt macro's in te schakelen om de inhoud te kunnen bekijken. Het inschakelen van macro's activeert ook de BlackEnergy-malware-infectie.

Wie zijn slachtoffer van de aanvallen?

De BlackEnergy APT-groep is actief in de volgende sectoren:

  • ICS, energie, overheid en media in Oekraïne
  • ICS/SCADA-bedrijven wereldwijd
  • Energiebedrijven wereldwijd

Loop ik risico?

De groep richt zich tegen Oekraïense instellingen, vooral binnen de energiesector, overheid en media. De groep valt wereldwijd ook ISC/SCADA- en energiebedrijven aan. Je loopt mogelijk ook gevaar als je eigenaar bent van dit type onderneming of hiermee of hiervoor werkt.

Hoe weet ik of ik geïnfecteerd ben?

Kaspersky Lab-producten detecteren de verschillende trojans die gebruikt worden door BlackEnergy, zoals:

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic

Indicatoren van een gecompromitteerd systeem vind je in een blogpost op Securelist.

Hoe kan ik mezelf beschermen?

Een standaard anti-malwareoplossing is niet genoeg. Om een BlackEnergy-malwareaanval te voorkomen, raadt Kaspersky Lab het gebruik van een meerlaagse benadering aan die het volgende combineert:

  • Op administratieve besturingssystemen en netwerken gebaseerde maatregelen;
  • Veiligheidscontroles en kwetsbaarheidsbeoordelingen/patchbeheersystemen
  • Applicatiebeheer
  • Beheer op basis van whitelisting
  • E-mailgebaseerde spearphishing
  • Bewustwordingstraining voor cybersecurity (opleiden van personeel)

Kaspersky Lab-oplossingen:

Kaspersky Endpoint Security for Business Advanced

Kaspersky Cybersecurity Awareness Training

Kaspersky Security for Mail Server

BlackEnergy APT-aanvallen in Oekraïne

BlackEnergy is een trojan die wordt gebruikt om DDoS-aanvallen, cyberspionage en informatievernietigingsaanvallen uit te voeren
Kaspersky Logo