CyberwarSicurezza

Kaspersky: il gruppo BlackEnergy è sempre più attivo

internet-Feat
0 21 Nessun commento

Le analisi Kaspersky indicano che il gruppo di hacker ostili BlackEnergy sta intensificando le sue azioni, che non sono limitate all’Ucraina

Abbiamo conosciuto il gruppo di hacker ostili di lingua russa BlackEnergy perché è considerato responsabile di aver lasciato al buio nel periodo di Natale una intera regione dell’Ucraina, ora il Global Research and Analysis Team di Kaspersky Lab ha scoperto altri segni di attacchi precedentemente sconosciuti lanciati dal gruppo. BlackEnergy è una APT (Advanced Persistent Threat) altamente dinamica e le sue azioni distruttive sono all’ordine del giorno, insieme alla compromissione di installazioni per il controllo industriale e alle attività di cyber spionaggio.

Inizialmente attivo negli attacchi DDoS, BlackEnergy si è espanso aumentando la raccolta di tool. Questi ultimi sono stati utilizzati, spiega Kaspersky, in varie attività di tipo APT, tra cui operazioni geopolitiche, come appunto un’ondata di attacchi verso gli operatori di numerosi settori critici in Ucraina alla fine del 2015. Nonostante sia stato scoperto diverse volte, BlackEnergy continua la sua attività e per Kaspersky costituisce un pericolo significativo.

Fino a metà 2015 BlackEnergy ha utilizzato email di spear-phishing contenenti file Excel nocivi con macro per infettare i computer del network preso di mira. Tuttavia, a gennaio di quest’anno, i ricercatori di Kaspersky Lab hanno scoperto un nuovo documento nocivo che infetta il sistema con un Trojan BlackEnergy. Contrariamente ai file Excel utilizzati nei precedenti attacchi, in questo caso si trattava di un documento Word.

blackenergy
La schermata generata da un documento infettato da BlackEnergy

Dopo aver aperto il documento, si presenta all’utente una finestra di dialogo che consiglia di abilitare le macro per vederne il contenuto. Abilitando le macro, si avvia l’infezione del malware BlackEnergy.

Una volta attivato nel computer della vittima, il malware invia informazioni base sulla macchina infettata al suo server di comando e controllo. In seguito all’infezione possono venire scaricati ulteriori moduli nocivi. A seconda della versione del Trojan utilizzata, potrebbero cambiare le funzioni di questo ulteriore payload, che vanno dal cyber spionaggio alla cancellazione dei dati.

Secondo Kaspersky Lab il gruppo BlackEnergy è particolarmente attivo nell’attacco verso enti governativi e media in Ucraina ma anche, a livello globale, verso aziende che usano sistemi ICS/SCADA e in particolare fornitori di energia.

TechweekEurope è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Techweekeurope l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche TechWeekEurope realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Seguici