Tipo de vírus: spyware, ameaça persistente avançada (APT), cavalo de Troia
BlackEnergy é um cavalo de Troia usado para conduzir ataques DDoS, espionagem virtual e ataques de destruição de informações. Em 2014 aproximadamente, um grupo de usuários específico do BlackEnergy começou a implantar plug-ins relacionados a SCADA nos sistemas de controle industrial (ICS) e mercados de energia ao redor do mundo. Era um dos indícios de um conjunto de habilidades exclusivo, bem acima da média dos mestres em botnets de DDoS.
Desde a metade de 2015, o grupo APT BlackEnergy vem usando e-mails de spear-phishing com anexos maliciosos em Excel com macros para infectar computadores de uma rede-alvo. Entretanto, em janeiro deste ano, pesquisadores da Kaspersky Lab descobriram um documento malicioso novo, que infecta o sistema com o cavalo de Troia BlackEnergy. Diferentemente dos documentos em Excel usados nos ataques anteriores, era um documento em Word.
Ao abrir o documento, aparece uma caixa de diálogo solicitando que o usuário ative macros para poder visualizar o conteúdo do documento. A ativação das macros aciona a infecção pelo malware BlackEnergy.
O grupo da APT BlackEnergy atua nos seguintes setores:
O grupo atua contra entidades ucranianas, principalmente no setor de energia, do governo e da mídia. Ele também ataca ICS/SCADA e empresas de energia no mundo todo. Você corre risco caso trabalhe, seja proprietário ou colabore com essas organizações.
Os produtos da Kaspersky Lab detectam diversos cavalos de Troia usados pelo grupo BlackEnergy, como:
Os indicadores de comprometimento estão disponíveis em uma postagem no blog em Securelist.
Uma solução antimalware comum não é suficiente. Para evitar ataques de malware do BlackEnergy, a Kaspersky Lab recomenda usar uma abordagem em várias camadas, que combine:
Kaspersky Endpoint Security for Business Advanced
Treinamento de conscientização sobre cibersegurança da Kaspersky