Type de virus : logiciel espion, menace persistante avancée (APT), cheval de Troie
BlackEnergy est un cheval de Troie utilisé pour mener des attaques DDoS, du cyberespionnage et des attaques de destruction d’informations. En 2014 (environ), un groupe spécifique de pirates BlackEnergy a commencé à déployer des plug-ins SCADA auprès de victimes des marchés de l’énergie et des systèmes de contrôle industriel (ICS) du monde entier. Cela témoigne de compétences uniques, bien supérieures à celles de l’expert en botnet DDoS.
Depuis mi-2015, le groupe APT BlackEnergy utilise largement des e-mails de phishing ciblé contenant des documents Excel avec des macros pour infecter les ordinateurs d’un réseau ciblé. En revanche, en janvier de cette année, les chercheurs de Kaspersky Lab ont découvert un nouveau document malveillant, qui infecte le système avec un cheval de Troie BlackEnergy. Contrairement aux documents Excel utilisés dans les attaques précédentes, il s’agissait d’un document Microsoft Word.
À l’ouverture du document, une boîte de dialogue s’affiche recommandant à l’utilisateur d’activer les macros afin de pouvoir afficher le contenu. L’activation des macros déclenche l’infection par le programme malveillant BlackEnergy.
Le groupe APT BlackEnergy est actif dans les secteurs suivants :
Le groupe est actif et cible les entités ukrainiennes, notamment celles des secteurs de l’énergie, du gouvernement et des médias. Il attaque également les sociétés des secteurs SCI/SCADA et de l’énergie dans le monde entier. Vous pouvez courir un risque si vous travaillez, détenez ou coopérez avec des organisations de ce type.
Les produits de Kaspersky Lab détectent les divers chevaux de Troie utilisés par BlackEnergy sous les noms de :
Vous trouverez des indicateurs de compromission dans un article sur Securelist.
Une solution standard de protection contre les programmes malveillants ne suffit pas. Afin de prévenir les attaques du programme malveillant BlackEnergy, Kaspersky Lab recommande d’utiliser une approche multiniveaux qui combine :
Kaspersky Endpoint Security for Business Advanced