Tipo de virus: spyware, amenaza persistente avanzada (APT), troyano
BlackEnergy es un troyano que se utiliza para lanzar ataques DDoS, campañas de ciberespionaje y ataques de destrucción de información. En 2014 (aproximadamente), un grupo específico de atacantes BlackEnergy comenzó a desplegar complementos relacionados con SCADA en equipos de víctimas del sector SCI (sistemas de control industrial) y del sector de energía de todo el mundo. Esto indicaba un conjunto de habilidades único, muy superior al de los expertos medios en botnets para DDoS.
Desde mediados de 2015, el grupo de APT BlackEnergy ha usado activamente correos electrónicos de spear phishing que contienen documentos de Excel maliciosos con macros diseñadas para infectar los equipos de la red de destino. Sin embargo, en enero de este año, los investigadores de Kaspersky Lab descubrieron un nuevo documento malicioso que infecta el sistema con un troyano BlackEnergy. A diferencia de los documentos de Excel utilizados en ataques anteriores, aquí se utilizó un documento de Microsoft Word.
Después de abrir el documento, al usuario se le presenta un cuadro de diálogo que le recomienda habilitar las macros para visualizar el contenido. La habilitación de las macros activa la infección por el malware BlackEnergy.
El grupo de APT BlackEnergy está activo en los siguientes sectores:
Las actividades del grupo se centran en entidades ucranianas, particularmente asociadas al sector de la energía, el gobierno y los medios de comunicación. Además, ataca a empresas ISC/SCADA y de energía en todo el mundo. Puedes correr riesgo si trabajas o cooperas para organizaciones de este tipo, o eres si eres el dueño.
¿Cómo puedo saber si soy víctima de una infección?
Los productos Kaspersky Lab detectan los diversos troyanos que utiliza BlackEnergy como:
Puedes encontrar indicadores de comprometimiento en una publicación de blog en Securelist.
Una solución antimalware estándar no es suficiente. Para evitar un ataque del malware BlackEnergy, Kaspersky Lab recomienda el uso de un enfoque de varias capas que combine lo siguiente:
Kaspersky Endpoint Security for Business Advanced