Virustyp: spionprogram, avancerat långvarigt hot (APT) och trojan
BlackEnergy är en trojan som används för att utföra DDoS-attacker, spionage och informationsförstörelseattacker. Runt år 2014 började en specifik BlackEnergy-grupp driftsätta SCADA-relaterade insticksprogram hos måltavlor inom ICS (Industrial Control Systems) och energimarknader världen över. Detta tyder på att de är mer kompetenta än de flesta DDoS-botnätshackare.
Sedan mitten av 2015 har BlackEnergy APT-gruppen använt nätfiskemeddelanden med skadliga Excel-dokument med makron för att smitta datorer i ett utvalt nätverk. Men i januari i år upptäckte Kaspersky Labs forskare ett nytt skadligt dokument där systemen smittas med en BlackEnergy-trojan. Till skillnad från de Excel-dokument som använts i tidigare attacker var detta ett Microsoft Word-dokument.
När man öppnar dokumentet visas en dialogruta med en rekommendation om att makron ska vara aktiverade för att man ska kunna visa innehållet. Aktiverar man då makron aktiveras även en skadlig BlackEnergy-kod.
BlackEnergy APT-gruppen angriper aktörer i följande sektorer.
Gruppen angriper ukrainska verksamheter, särskilt energibolag, myndigheter och mediebolag. De ger sig även på ISC-/SCADA-bolag och energibolag över hela världen. Du kan vara i riskzonen om du arbetar åt, äger eller samarbetar med organisationer av detta slag.
Med Kaspersky Labs produkter upptäcker du de olika trojaner som används av BlackEnergy. Några exempel ser du nedan.
Hos Securelist kan du gå igenom tecknen på att du drabbats (IOC).
En vanlig lösning mot skadlig programvara är inte tillräcklig. Vi rekommenderar att du skyddar dig mot BlackEnergy med en flerskiktad metod där du kombinerar:
Kaspersky Endpoint Security for Business Advanced