Ataques de APT BlackEnergy na Ucrânia

DEFINIÇÃO DO VÍRUS

Tipo de vírus: spyware, ameaça persistente avançada (APT), cavalo de Troia

O que é BlackEnergy?

BlackEnergy é um cavalo de Troia usado para conduzir ataques DDoS, espionagem virtual e ataques de destruição de informações. Em 2014 aproximadamente, um grupo de usuários específico do BlackEnergy começou a implantar plug-ins relacionados a SCADA nos sistemas de controle industrial (ICS) e mercados de energia ao redor do mundo. Era um dos indícios de um conjunto de habilidades exclusivo, bem acima da média dos mestres em botnets de DDoS.

Desde a metade de 2015, o grupo APT BlackEnergy vem usando e-mails de spear-phishing com anexos maliciosos em Excel com macros para infectar computadores de uma rede-alvo. Entretanto, em janeiro deste ano, pesquisadores da Kaspersky Lab descobriram um documento malicioso novo, que infecta o sistema com o cavalo de Troia BlackEnergy. Diferentemente dos documentos em Excel usados nos ataques anteriores, era um documento em Word.

Ao abrir o documento, aparece uma caixa de diálogo solicitando que o usuário ative macros para poder visualizar o conteúdo do documento. A ativação das macros aciona a infecção pelo malware BlackEnergy.

Quem são as vítimas desses ataques?

O grupo da APT BlackEnergy atua nos seguintes setores:

ICS, energia, governo e imprensa na Ucrânia
Empresas de ICS/SCADA no mundo todo
Empresas de energia no mundo todo

Eu corro algum risco?

O grupo atua contra entidades ucranianas, principalmente no setor de energia, do governo e da mídia. Ele também ataca ICS/SCADA e empresas de energia no mundo todo. Você corre risco caso trabalhe, seja proprietário ou colabore com essas organizações.

Como saber se fui infectado?

Os produtos da Kaspersky Lab detectam diversos cavalos de Troia usados pelo grupo BlackEnergy, como:

Backdoor.Win32.Blakken
Backdoor.Win64.Blakken
Backdoor.Win32.Fonten
Heur:Trojan.Win32.Generic

Os indicadores de comprometimento estão disponíveis em uma postagem no blog em Securelist.

Como posso me proteger?

Uma solução antimalware comum não é suficiente. Para evitar ataques de malware do BlackEnergy, a Kaspersky Lab recomenda usar uma abordagem em várias camadas, que combine:

Medidas baseadas na rede e no sistema operacional de administração;
Controles de segurança e sistemas de avaliação de vulnerabilidades/gerenciamento de correções
Controle de aplicativos
Controles com base em listas brancas
Spear-phishing em e-mail
Treinamentos de conscientização sobre cibersegurança (para informar sua equipe)