Hoppa till huvudinnehållet
resources

BlackEnergy-APT-attacker i Ukraina

VIRUSDEFINITION

Virustyp: spionprogram, avancerat långvarigt hot (APT) och trojan

Vad är BlackEnergy?

BlackEnergy är en trojan som används för att utföra DDoS-attacker, spionage och informationsförstörelseattacker. Runt år 2014 började en specifik BlackEnergy-grupp driftsätta SCADA-relaterade insticksprogram hos måltavlor inom ICS (Industrial Control Systems) och energimarknader världen över. Detta tyder på att de är mer kompetenta än de flesta DDoS-botnätshackare.

Sedan mitten av 2015 har BlackEnergy APT-gruppen använt nätfiskemeddelanden med skadliga Excel-dokument med makron för att smitta datorer i ett utvalt nätverk. Men i januari i år upptäckte Kaspersky Labs forskare ett nytt skadligt dokument där systemen smittas med en BlackEnergy-trojan. Till skillnad från de Excel-dokument som använts i tidigare attacker var detta ett Microsoft Word-dokument.

När man öppnar dokumentet visas en dialogruta med en rekommendation om att makron ska vara aktiverade för att man ska kunna visa innehållet. Aktiverar man då makron aktiveras även en skadlig BlackEnergy-kod.

Vilka drabbas av dessa attacker?

BlackEnergy APT-gruppen angriper aktörer i följande sektorer.

  • ICS, energi, myndigheter och medier i Ukraina.
  • ICS-/SCADA-företag över hela världen.
  • Energibolag över hela världen.

Är jag i riskzonen?

Gruppen angriper ukrainska verksamheter, särskilt energibolag, myndigheter och mediebolag. De ger sig även på ISC-/SCADA-bolag och energibolag över hela världen. Du kan vara i riskzonen om du arbetar åt, äger eller samarbetar med organisationer av detta slag.

Hur vet jag om jag har drabbats?

Med Kaspersky Labs produkter upptäcker du de olika trojaner som används av BlackEnergy. Några exempel ser du nedan.

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic

Hos Securelist kan du gå igenom tecknen på att du drabbats (IOC).

Hur skyddar jag mig?

En vanlig lösning mot skadlig programvara är inte tillräcklig. Vi rekommenderar att du skyddar dig mot BlackEnergy med en flerskiktad metod där du kombinerar:

  • Administrativa operativsystems- och nätverksbaserade åtgärder.
  • Säkerhetskontroller och system för sårbarhetsbedömning och patch-management.
  • Programkontroll
  • Vitlistningsbaserade kontroller.
  • E-postbaserat riktat nätfiske.
  • Cybersäkerhetsutbildning (utbilda personalen).

Kasperskys lösningar:

Kaspersky Endpoint Security for Business Advanced

Kasperskys utbildning i cybersäkerhetsmedvetenhet.

Kaspersky Security for Mail Server

BlackEnergy-APT-attacker i Ukraina

BlackEnergy är en trojan som används för att utföra DDoS-attacker, spionage och informationsförstörelseattacker.
Kaspersky Logo