DEFINITIE VAN VIRUS
Type virus: spyware, Advanced Persistent Threat (APT), trojan
Wat is BlackEnergy?
BlackEnergy is een trojan die wordt gebruikt om DDoS-aanvallen, cyberspionage en informatievernietigingsaanvallen uit te voeren. Rond 2014 begon een specifieke gebruikersgroep van de BlackEnergy-aanvallers SCADA-gerelateerde plug-ins te implementeren bij slachtoffers in ICS-omgevingen (Industrial Control System) en energiemarkten over de hele wereld. Dit duidde op een unieke skillset ver boven het niveau van de gemiddelde DDoS-botnet-aanvaller.
Sinds medio 2015 is de BlackEnergy APT-groep actief via spear-phishingmails met als bijlage schadelijke Excel-documenten met macro's die de computers op het uitgekozen netwerk infecteren. In januari van dit jaar ontdekten onderzoekers van Kaspersky Lab een nieuw schadelijk document, dat het systeem met een BlackEnergy-trojan infecteert. In tegenstelling tot de Excel-documenten die in de vorige aanvallen werden gebruikt, ging het hier om Microsoft Word-documenten.
Bij het openen van het document ziet de gebruiker een dialoogvenster dat aanbeveelt macro's in te schakelen om de inhoud te kunnen bekijken. Het inschakelen van macro's activeert ook de BlackEnergy-malware-infectie.
Wie zijn slachtoffer van de aanvallen?
De BlackEnergy APT-groep is actief in de volgende sectoren:
- ICS, energie, overheid en media in Oekraïne
- ICS/SCADA-bedrijven wereldwijd
- Energiebedrijven wereldwijd
Loop ik risico?
De groep richt zich tegen Oekraïense instellingen, vooral binnen de energiesector, overheid en media. De groep valt wereldwijd ook ISC/SCADA- en energiebedrijven aan. Je loopt mogelijk ook gevaar als je eigenaar bent van dit type onderneming of hiermee of hiervoor werkt.
Hoe weet ik of ik geïnfecteerd ben?
Kaspersky Lab-producten detecteren de verschillende trojans die gebruikt worden door BlackEnergy, zoals:
- Backdoor.Win32.Blakken
- Backdoor.Win64.Blakken
- Backdoor.Win32.Fonten
- Heur:Trojan.Win32.Generic
Indicatoren van een gecompromitteerd systeem vind je in een blogpost op Securelist.
Hoe kan ik mezelf beschermen?
Een standaard anti-malwareoplossing is niet genoeg. Om een BlackEnergy-malwareaanval te voorkomen, raadt Kaspersky Lab het gebruik van een meerlaagse benadering aan die het volgende combineert:
- Op administratieve besturingssystemen en netwerken gebaseerde maatregelen;
- Veiligheidscontroles en kwetsbaarheidsbeoordelingen/patchbeheersystemen
- Applicatiebeheer
- Beheer op basis van whitelisting
- E-mailgebaseerde spearphishing
- Bewustwordingstraining voor cybersecurity (opleiden van personeel)
Kaspersky Lab-oplossingen:
Kaspersky Endpoint Security for Business Advanced
