Virustype: Spyware, avanceret, vedvarende trussel (APT), trojaner
BlackEnergy er en trojaner, der bruges til at udføre DDoS-angreb, cyberspionage og angreb med henblik på ødelæggelse af oplysninger. I 2014 (ca.) begyndte en bestemt brugergruppe af BlackEnergy-hackere at sprede SCADA-relaterede tilføjelsesprogrammer til ofre inden for industrielle kontrolsystemer (ICS) og energimarkeder rundt om i verden. Dette tydede på unikke kompetencer, der lå betydeligt over den gennemsnitlige DDoS-botnet-kyndiges.
Siden midten af 2015 har BlackEnergy APT-gruppen aktivt udsendt spear-phishing-e-mails indeholdende ondsindede Excel-dokumenter med makroer for at inficere computere i et målrettet netværk. I januar sidste år opdagede Kaspersky Labs efterforskere et nyt ondsindet dokument, som inficerer systemet med en BlackEnergy-trojaner. I modsætning til de Excel-dokumenter, der blev anvendt i tidligere angreb, var dette et Microsoft Word-dokument.
Når dokumentet åbnes, får brugeren vist en dialogboks, hvori det anbefales, at makroer skal aktiveres for at få vist indholdet. Aktiveringen af makroerne udløser BlackEnergy-malwareinficeringen.
BlackEnergy APT-gruppen er aktiv inden for følgende brancher:
Gruppen er aktiv i forhold til ukrainske virksomheder, især inden for energisektoren, regeringen og medierne. Den angriber desuden ISC/SCADA- og energiselskaber i hele verden. Du kan være i fare, hvis du arbejder, ejer eller samarbejder med organisationer af den type.
Kaspersky Labs produkter registrerer forskellige trojanere, der benyttes af BlackEnergy, såsom:
Der findes kompromitteringsindikatorer i et blogindlæg på Securelist.
En almindelig antimalwareløsning er ikke tilstrækkelig. For at undgå et BlackEnergy-malwareangreb anbefaler Kaspersky Lab en fremgangsmåde med flere lag, der kombinerer:
Kaspersky Endpoint Security for Business Advanced