ОПРЕДЕЛЕНИЕ УГРОЗЫ

Тип вируса: шпионское ПО, целевая продолжительная атака повышенной сложности (APT), троянская программа

Что такое BlackEnergy?

BlackEnergy - это троянская программа, которая используется для проведения DDoS-атак, кибер-шпионажа и уничтожения информации. В 2014 году (приблизительно) некая киберпреступная группа BlackEnergy начала использовать SCADA-модули и атаковать промышленные и энергетические секторы по всему миру. Это указывает на обладание этой группой уникальной квалификацией, намного выше среднего уровня типичных организаторов DDoS атак.

С середины 2015 года АРТ-группировка BlackEnergy активно использует целевые фишинговые письма, содержащие вредоносные документы Excel с макросами для заражения компьютеров в целевой сети. Однако в январе этого года исследователи «Лаборатории Касперского» обнаружили новый вредоносный документ, который заражает систему троянцем BlackEnergy. В отличие от файлов Office, используемых в предыдущих атаках, это не файлы Excel, а документы Microsoft Word.

При открытии документа пользователь видит окно с рекомендациями включить макросы для просмотра документа. Включение макроса запускает BlackEnergy- атаку.

Кто становится жертвами атак?

APT группировка BlackEnergy атакует следующие секторы:

  • Промышленный, энергетический, правительственный секторы и СМИ Украины
  • Компании по всему миру, использующие системы ICS/SCADA
  • Энергетические компании по всему миру

Нахожусь ли я в зоне риска?

Среди приоритетных целей APT-группы BlackEnergy критические секторы Украины -энергетический, правительственный и средства массовой информации. Она также атакует АСУ/SCADA и энергетические компании по всему миру. Вы можете находиться в зоне риска, если работаете, владеете или сотрудничаете с такими организациями.

Как узнать, не заражено ли мое устройство?

«Лаборатория Касперского» детектирует троянцев, используемых группой BlackEnergy в своих АРТ-атаках как:

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic

Индикаторы компрометации опубликованы в блоге на сайте Securelist.

Как защититься от АРТ-атак BlackEnergy?

Стандартного антивирусного решения недостаточно. Чтобы предотвратить атаку BlackEnergy, «Лаборатория Касперского» рекомендует использовать многоуровневый подход, который сочетает в себе:

  • Административные меры контроля ОС и корпоративной сети;
  • Системы контроля безопасности, оценки уязвимостей и управления установкой исправлений
  • Контроль программ
  • Управление на основе белых списков
  • Защиту от целевой фишинг в электронной почте
  • Обучение осведомленности о кибербезопасности (обучение персонала)

Решения «Лаборатории Касперского»:

Kaspersky Endpoint Security for Business Advanced

Kaspersky Security for Mail Server