Saltar al contenido principal

Ataques de APT BlackEnergy en Ucrania

DEFINICIÓN DEL VIRUS

Tipo de virus: spyware, amenaza persistente avanzada (APT), troyano

¿Qué es BlackEnergy?

BlackEnergy es un troyano que se utiliza para lanzar ataques DDoS, campañas de ciberespionaje y ataques de destrucción de información. En 2014 (aproximadamente), un grupo específico de atacantes BlackEnergy comenzó a desplegar complementos relacionados con SCADA en equipos de víctimas del sector SCI (sistemas de control industrial) y del sector de energía de todo el mundo. Esto indicaba un conjunto de habilidades único, muy superior al de los expertos medios en botnets para DDoS.

Desde mediados de 2015, el grupo de APT BlackEnergy ha usado activamente correos electrónicos de spear phishing que contienen documentos de Excel maliciosos con macros diseñadas para infectar los equipos de la red de destino. Sin embargo, en enero de este año, los investigadores de Kaspersky Lab descubrieron un nuevo documento malicioso que infecta el sistema con un troyano BlackEnergy. A diferencia de los documentos de Excel utilizados en ataques anteriores, aquí se utilizó un documento de Microsoft Word.

Después de abrir el documento, al usuario se le presenta un cuadro de diálogo que le recomienda habilitar las macros para visualizar el contenido. La habilitación de las macros activa la infección por el malware BlackEnergy.

¿Quiénes son las víctimas de sus ataques?

El grupo de APT BlackEnergy está activo en los siguientes sectores:

  • SCI, energía, gobierno y medios de comunicación en Ucrania
  • Empresas SCI/SCADA de todo el mundo
  • Empresas de energía de todo el mundo

¿Estoy en riesgo?

Las actividades del grupo se centran en entidades ucranianas, particularmente asociadas al sector de la energía, el gobierno y los medios de comunicación. Además, ataca a empresas ISC/SCADA y de energía en todo el mundo. Puedes correr riesgo si trabajas o cooperas para organizaciones de este tipo, o eres si eres el dueño.

¿Cómo puedo saber si soy víctima de una infección?

Los productos Kaspersky Lab detectan los diversos troyanos que utiliza BlackEnergy como:

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic

Puedes encontrar indicadores de comprometimiento en una publicación de blog en Securelist.

¿Cómo puedo protegerme?

Una solución antimalware estándar no es suficiente. Para evitar un ataque del malware BlackEnergy, Kaspersky Lab recomienda el uso de un enfoque de varias capas que combine lo siguiente:

  • Medidas administrativas del sistema operativo y basadas en red
  • Controles de seguridad y sistemas de evaluación de vulnerabilidades o administración de parches
  • Control de aplicaciones
  • Controles basados en whitelisting
  • Spear phishing basado en correo electrónico
  • Concienciación sobre la ciberseguridad (educar a los trabajadores)

Soluciones de Kaspersky:

Kaspersky Endpoint Security for Business Advanced

Toma de conciencia sobre la ciberseguridad de Kaspersky

Kaspersky Security for Mail Server

Ataques de APT BlackEnergy en Ucrania

BlackEnergy es un troyano que se utiliza para lanzar ataques DDoS, campañas de ciberespionaje y ataques de destrucción de información.
Kaspersky logo