BlackEnergy Malware se informó por primera vez en 2007 como un conjunto de herramientas basado en HTTP que generaba bots para ejecutar ataques distribuidos de denegación de servicio . [1] En 2010, BlackEnergy 2 surgió con capacidades más allá de DDoS. En 2014, BlackEnergy 3 vino equipado con una variedad de complementos . [2] A un grupo con sede en Rusia conocido como Sandworm (también conocido como Voodoo Bear) se le atribuye el uso de ataques dirigidos a BlackEnergy. El ataque se distribuye a través de un documento de Word o un archivo adjunto de PowerPoint en un correo electrónico, incitando a las víctimas a hacer clic en el archivo aparentemente legítimo. [3]
El código de BlackEnergy facilita diferentes tipos de ataques para infectar las máquinas objetivo. También está equipado con scripts del lado del servidor que los perpetradores pueden desarrollar en el servidor de comando y control (C&C). Los ciberdelincuentes utilizan el kit de herramientas de creación de bots de BlackEnergy para generar archivos ejecutables de clientes de bots personalizados que luego se distribuyen a los objetivos a través de correos electrónicos no deseados y campañas de phishing . [4] BE1 carece de funcionalidades de explotación y depende de herramientas externas para cargar el bot. [5] BlackEnergy se puede detectar utilizando las firmas YARA proporcionadas por el Departamento de Seguridad Nacional de los Estados Unidos (DHS).
[5]
BlackEnergy 2 utiliza sofisticadas técnicas de inyección de procesos/ rootkits , cifrado robusto y una arquitectura modular conocida como "cuentagotas". [6] Esto descifra y descomprime el binario del controlador rootkit y lo instala en la máquina víctima como un servidor con un nombre generado aleatoriamente. Como actualización de BlackEnergy 1, combina el código fuente de rootkit más antiguo con nuevas funciones para descomprimir e inyectar módulos en los procesos del usuario. [6] El contenido empaquetado se comprime utilizando el algoritmo LZ77 y se cifra utilizando una versión modificada del cifrado RC4 . Una clave codificada de 128 bits descifra el contenido incrustado. Para descifrar el tráfico de la red, el cifrado utiliza la cadena de identificación única del bot como clave. Una segunda variación del esquema de cifrado/compresión añade un vector de inicialización al cifrado RC4 modificado para una protección adicional en el dropper y el código auxiliar de descompresión del rootkit, pero no se utiliza en el rootkit interno ni en los módulos del espacio de usuario. La principal modificación en la implementación RC4 en BlackEnergy 2 radica en el algoritmo de programación de claves. [6]
La última versión completa de BlackEnergy surgió en 2014. Los cambios simplificaron el código de malware: el instalador de esta versión coloca el componente principal de la biblioteca vinculada dinámicamente (DLL) directamente en la carpeta de datos de la aplicación local. [7] Esta variante del malware estuvo involucrada en el ciberataque a la red eléctrica de Ucrania en diciembre de 2015 . [8]
[2]