DÉFINITION DU VIRUS

Type de virus : logiciel espion, menace persistante avancée (APT), cheval de Troie

Qu’est-ce que BlackEnergy ?

BlackEnergy est un cheval de Troie utilisé pour mener des attaques DDoS, du cyberespionnage et des attaques de destruction d’informations. En 2014 (environ), un groupe spécifique de pirates BlackEnergy a commencé à déployer des plug-ins SCADA auprès de victimes des marchés de l’énergie et des systèmes de contrôle industriel (ICS) du monde entier. Cela témoigne de compétences uniques, bien supérieures à celles de l’expert en botnet DDoS.

Depuis mi-2015, le groupe APT BlackEnergy utilise largement des e-mails de phishing ciblé contenant des documents Excel avec des macros pour infecter les ordinateurs d’un réseau ciblé. En revanche, en janvier de cette année, les chercheurs de Kaspersky Lab ont découvert un nouveau document malveillant, qui infecte le système avec un cheval de Troie BlackEnergy. Contrairement aux documents Excel utilisés dans les attaques précédentes, il s’agissait d’un document Microsoft Word.

À l’ouverture du document, une boîte de dialogue s’affiche recommandant à l’utilisateur d’activer les macros afin de pouvoir afficher le contenu. L’activation des macros déclenche l’infection par le programme malveillant BlackEnergy.

Qui sont les victimes de leurs attaques ?

Le groupe APT BlackEnergy est actif dans les secteurs suivants :

  • Systèmes de contrôle industriel (ICS), énergie, gouvernement et média en Ukraine
  • Sociétés du secteur SCI/SCADA dans le monde entier
  • Sociétés du secteur de l’énergie dans le monde entier

Est-ce que je cours un risque ?

Le groupe est actif et cible les entités ukrainiennes, notamment celles des secteurs de l’énergie, du gouvernement et des médias. Il attaque également les sociétés des secteurs SCI/SCADA et de l’énergie dans le monde entier. Vous pouvez courir un risque si vous travaillez, détenez ou coopérez avec des organisations de ce type.

Comment savoir si je suis infecté ?

Les produits de Kaspersky Lab détectent les divers chevaux de Troie utilisés par BlackEnergy sous les noms de :

  • Backdoor.Win32.Blakken
  • Backdoor.Win64.Blakken
  • Backdoor.Win32.Fonten
  • Heur:Trojan.Win32.Generic

Vous trouverez des indicateurs de compromission dans un article sur  Securelist.

Comment puis-je me protéger ?

Une solution standard de protection contre les programmes malveillants ne suffit pas. Afin de prévenir les attaques du programme malveillant BlackEnergy, Kaspersky Lab recommande d’utiliser une approche multiniveaux qui combine :

  • Mesures administratives basées sur le réseau et le système d’exploitation ;
  • Contrôles de sécurité et évaluation des vulnérabilités/systèmes de gestion des correctifs
  • Contrôle des applications
  • Contrôles basés sur les listes blanches
  • Phishing ciblé par e-mail
  • Formation de sensibilisation à la sécurité informatique (formez votre personnel)

Solutions Kaspersky Lab :

Kaspersky Endpoint Security for Business Advanced

Formation - Sensibilisation à la sécurité informatique

Kaspersky Security for Mail Server