ОПРЕДЕЛЕНИЕ УГРОЗЫ
Тип вируса: шпионское ПО, целевая продолжительная атака повышенной сложности (APT), троянская программа
Что такое BlackEnergy?
BlackEnergy - это троянская программа, которая используется для проведения DDoS-атак, кибер-шпионажа и уничтожения информации. В 2014 году (приблизительно) некая киберпреступная группа BlackEnergy начала использовать SCADA-модули и атаковать промышленные и энергетические секторы по всему миру. Это указывает на обладание этой группой уникальной квалификацией, намного выше среднего уровня типичных организаторов DDoS атак.
С середины 2015 года АРТ-группировка BlackEnergy активно использует целевые фишинговые письма, содержащие вредоносные документы Excel с макросами для заражения компьютеров в целевой сети. Однако в январе этого года исследователи «Лаборатории Касперского» обнаружили новый вредоносный документ, который заражает систему троянцем BlackEnergy. В отличие от файлов Office, используемых в предыдущих атаках, это не файлы Excel, а документы Microsoft Word.
При открытии документа пользователь видит окно с рекомендациями включить макросы для просмотра документа. Включение макроса запускает BlackEnergy- атаку.
Кто становится жертвами атак?
APT группировка BlackEnergy атакует следующие секторы:
- Промышленный, энергетический, правительственный секторы и СМИ Украины
- Компании по всему миру, использующие системы ICS/SCADA
- Энергетические компании по всему миру
Нахожусь ли я в зоне риска?
Среди приоритетных целей APT-группы BlackEnergy критические секторы Украины -энергетический, правительственный и средства массовой информации. Она также атакует АСУ/SCADA и энергетические компании по всему миру. Вы можете находиться в зоне риска, если работаете, владеете или сотрудничаете с такими организациями.
Как узнать, не заражено ли мое устройство?
«Лаборатория Касперского» детектирует троянцев, используемых группой BlackEnergy в своих АРТ-атаках как:
- Backdoor.Win32.Blakken
- Backdoor.Win64.Blakken
- Backdoor.Win32.Fonten
- Heur:Trojan.Win32.Generic
Индикаторы компрометации опубликованы в блоге на сайте Securelist.
Как защититься от АРТ-атак BlackEnergy?
Стандартного антивирусного решения недостаточно. Чтобы предотвратить атаку BlackEnergy, «Лаборатория Касперского» рекомендует использовать многоуровневый подход, который сочетает в себе:
- Административные меры контроля ОС и корпоративной сети;
- Системы контроля безопасности, оценки уязвимостей и управления установкой исправлений
- Контроль программ
- Управление на основе белых списков
- Защиту от целевой фишинг в электронной почте
- Обучение осведомленности о кибербезопасности (обучение персонала)
