Virentyp: Spyware, Advanced Persistent Threat (APT), Trojaner
Bei BlackEnergy handelt es sich um einen Trojaner, der für DDoS-Angriffe, Cyberspionage und Datenvernichtung genutzt wird. Ungefähr 2014 begann eine Gruppe von BlackEnergy-Angreifern, weltweit SCADA-basierte Plug-ins bei Opfern im Bereich der industriellen Steuersysteme und der Energieversorgung zu implementieren. Hierfür waren umfassende Vorkenntnisse erforderlich – weit über denen eines durchschnittlichen DDoS-Botnet-Meisters.
Ab Mitte 2015 nutzte die BlackEnergy-Gruppe aktiv Spear-Phishing-E-Mails, die schädliche Excel-Dokumente enthielten, deren Makros Computer im angegriffenen Netzwerk infizieren sollten. Im Januar dieses Jahres entdeckten Kaspersky-Forscher jedoch ein neues schädliches Dokument, das das System mit einem BlackEnergy-Trojaner infiziert. Im Gegensatz zu vorigen Angriffen, bei denen ein Excel-Dokument zum Einsatz kam, handelte es sich hierbei um ein Word-Dokument.
Nach Öffnen des Dokuments wird dem Benutzer ein Dialogfeld angezeigt, das die Aktivierung von Makros empfiehlt, damit das Dokument richtig angezeigt werden kann. Wenn die Makros aktiviert werden, wird die Infektion durch die BlackEnergy-Malware ausgelöst.
Die BlackEnergy-Gruppe ist in folgenden Sektoren aktiv:
Die Gruppe greift aktiv ukrainische Organisationen an – insbesondere im Energie-, Regierungs- und Mediensektor. Sie greift auch Anbieter industrieller Steuersysteme bzw. SCADA-Unternehmen sowie Energieversorger weltweit an. Sie sind möglicherweise gefährdet, wenn Sie mit Organisationen dieser Art zusammenarbeiten oder ein ähnliches Unternehmen besitzen.
Kaspersky-Produkte erkennen die verschiedenen BlackEnergy-Trojaner als:
Gefährdungsindikatoren finden Sie in einem Blog-Beitrag auf Securelist.
Eine standardmäßige Anti-Malware-Lösung reicht nicht aus. Um Angriffe der BlackEnergy-Malware zu verhindern, empfiehlt Kaspersky Lab einen mehrschichtigen Ansatz, der folgende Komponenten kombiniert:
Kaspersky Endpoint Security for Business – Advanced