Тип вируса: шпионское ПО, целевая продолжительная атака повышенной сложности (APT), троянская программа
BlackEnergy - это троянская программа, которая используется для проведения DDoS-атак, кибер-шпионажа и уничтожения информации. В 2014 году (приблизительно) некая киберпреступная группа BlackEnergy начала использовать SCADA-модули и атаковать промышленные и энергетические секторы по всему миру. Это указывает на обладание этой группой уникальной квалификацией, намного выше среднего уровня типичных организаторов DDoS атак.
С середины 2015 года АРТ-группировка BlackEnergy активно использует целевые фишинговые письма, содержащие вредоносные документы Excel с макросами для заражения компьютеров в целевой сети. Однако в январе этого года исследователи «Лаборатории Касперского» обнаружили новый вредоносный документ, который заражает систему троянцем BlackEnergy. В отличие от файлов Office, используемых в предыдущих атаках, это не файлы Excel, а документы Microsoft Word.
При открытии документа пользователь видит окно с рекомендациями включить макросы для просмотра документа. Включение макроса запускает BlackEnergy- атаку.
APT группировка BlackEnergy атакует следующие секторы:
Среди приоритетных целей APT-группы BlackEnergy критические секторы Украины -энергетический, правительственный и средства массовой информации. Она также атакует АСУ/SCADA и энергетические компании по всему миру. Вы можете находиться в зоне риска, если работаете, владеете или сотрудничаете с такими организациями.
«Лаборатория Касперского» детектирует троянцев, используемых группой BlackEnergy в своих АРТ-атаках как:
Индикаторы компрометации опубликованы в блоге на сайте Securelist.
Стандартного антивирусного решения недостаточно. Чтобы предотвратить атаку BlackEnergy, «Лаборатория Касперского» рекомендует использовать многоуровневый подход, который сочетает в себе: