Ataques de APT BlackEnergy en Ucrania

DEFINICIÓN DEL VIRUS

Tipo de virus: spyware, amenaza persistente avanzada (APT), troyano

¿Qué es BlackEnergy?

BlackEnergy es un troyano que se utiliza para llevar a cabo ataques DDoS, ciberespionaje y ataques de destrucción de información. En 2014 (aproximadamente), un grupo de usuarios específico de atacantes de BlackEnergy comenzó la implementación de complementos relacionados con SCADA para las víctimas en los sistemas de control industrial (ICS, del inglés "Industrial Control Systems") y los mercados de la energía en todo el mundo. Esto demuestra un conjunto de habilidades único, muy por encima de los ataques DDoS botnet master medios.

Desde mediados de 2015, el grupo de los ataques de APT BlackEnergy ha utilizado activamente los correos electrónicos de spear phishing que incluyen documentos Excel maliciosos con macros para infectar ordenadores en una red objetivo. Sin embargo, en enero de este año, los investigadores de Kaspersky descubrieron un nuevo documento malicioso que infecta el sistema con un troyano BlackEnergy. A diferencia de los documentos Excel utilizados en los ataques anteriores, se trataba de un documento de Microsoft Word.

Al abrir el documento, se presenta al usuario un cuadro de diálogo en el que se recomienda que las macros deben estar habilitadas para ver el contenido. Al habilitar las macros, se activa la infección de malware BlackEnergy.

¿Quiénes son las víctimas de sus ataques?

El grupo de APT BlackEnergy está activo en los siguientes sectores:

ICS, energía, organismos gubernamentales y medios de comunicación en Ucrania
Empresas ICS/SCADA de todo el mundo
Empresas de energía de todo el mundo

¿Estoy en riesgo?

El grupo trabaja en contra de entidades ucranianas, especialmente aquellas que operan en el sector de la energía, el gobierno y los medios de comunicación. También ataca ISC/SCADA y empresas de energía de todo el mundo. Podría estar en riesgo si trabajas, posees o cooperas con organizaciones de este tipo.

¿Cómo puedo saber si estoy infectado?

Los productos de Kaspersky detectan varios troyanos que utiliza BlackEnergy, como los siguientes:

Backdoor.Win32.Blakken
Backdoor.Win64.Blakken
Backdoor.Win32.Fonten
Heur:Trojan.Win32.Generic

Se pueden encontrar indicadores de compromiso en una entrada de blog en Securelist.

¿Cómo puedo protegerme?

Una solución antimalware estándar no es suficiente. Para evitar un ataque de malware BlackEnergy, Kaspersky recomienda el uso de un enfoque a varios niveles que combina:

Medidas administrativas del sistema operativo y basadas en la red.
Controles de seguridad y sistemas de evaluación de las vulnerabilidades y gestión de parches.
Control de aplicaciones
Controles basados en lista blanca.
Spear phishing basado en correo electrónico
Formación de concienciación sobre la ciberseguridad (formar a tu personal)