Malware saboteert computers bij Oekraïense energiebedrijven
Oekraïense energie- en mediabedrijven zijn het doelwit van malware geworden die computers saboteert door documenten en bestanden te overschrijven, zodat systemen niet meer opstarten. Dat meldt het Slowaakse anti-virusbedrijf ESET. Het gaat om de BlackEnergy-malware, die al sinds 2007 bestaat.
De aanval begint met een Lite-versie van BlackEnergy, waarmee de aanvallers kunnen controleren of de besmette computer ook van het bedoelde doelwit is. Als dit het geval is, wordt de volledige versie van BlackEnergy gedownload. De versies van de malware die vorig jaar werden ontdekt blijken over een 'KillDisk' onderdeel te beschikken dat als doel heeft om documenten en bestanden te overschrijven, zodat de computer niet meer opstart.
Voor mediabedrijven gebruikten de aanvallers een andere KillDisk-versie, die vooral gericht was op het vernietigen van bestanden en documenten. Bij de energiebedrijven werden juist Windows Event Logs verwijderd, kon er een moment voor het overschrijven worden ingesteld en was er minder nadruk op het vernietigen van documenten. Waar de versie van mediabedrijven meer dan 4.000 bestandsextensies overschreef, richtte de versie voor energiebedrijven zich op slechts 35 extensies.
Update
ESET meldt dat verschillende energiebedrijven in de Oekraïne het doelwit van de aanvallers waren en er bij sommige het KillDisk-onderdeel is gebruikt. Om de malware te verspreiden gebruiken de aanvallers Office-documenten met kwaadaardige macro's. De documenten zijn zogenaamd van de overheid afkomstig en bevatten tekst waarin de ontvanger wordt opgeroepen om de macro's uit te voeren. Macro's staan standaard in Office uitgeschakeld, maar als de gebruiker die inschakelt wordt de Lite-versie van BlackEnergy gedownload.
Dit staat beschreven in een volgende blog: http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
Het lijkt mij meer een signaal van diezelfde afzender: "Bezint voor u zich aan het westen verbindt". Die rekeningen waren dacht ik al met bemiddeling van de EU betaald.
Maar ik weet wel dat ze slechte ogen hebben. Ze schieten een Maleisisch vliegtuig uit de lucht terwijl ze denken dat het een Oekraïns vliegtuig is.
En waarom hangen de computers die kritisch dan zo open aan internet. Als de secretaresse even niet kan werken, wat maakt dat dan uit?
En waarom hangen de computers die kritisch dan zo open aan internet. Als de secretaresse even niet kan werken, wat maakt dat dan uit?
Nutsbedrijven worden beschouwd als zijnde "van strategisch belang" (vandaar de term "nut"sbedrijf), dus ook spionage bij een dergelijke (staats?)onderneming is een dreiging voor een overheid.
Geopolitieke belangen.
Jammer dat het niet gewoon in de titel staat: "Malware saboteert WINDOWS computers bij Oekraïense energiebedrijven."
Mensen denken hierdoor dat malware een algemeen computerprobleem is en niet specifiek een windows probleem
Het schijnt alom gebruikelijk te zijn bij artikelen over malware alleen het OS te vermelden als het geen windows is.
Nutsbedrijven worden beschouwd als zijnde "van strategisch belang" (vandaar de term "nut"sbedrijf), dus ook spionage bij een dergelijke (staats?)onderneming is een dreiging voor een overheid.
Geopolitieke belangen.
Dank je je hebt het punt. In de titel van het artikel staat energiebedrijven. Nergens staat er om welk onderdeel getroffen is. Het meest waarschijnlijke is de administratie en klantcontact. Dat is wat in nl de energie vrije markt is. De energie opwekking en distributie is een ander verhaal. Dat is meer nuts en vergeven van computers op een ander manier plc en meer van dat soort met alle monitoring. Dat is het echt kritische deel. Unix/linux en vaak lek.
We kunnen het nuts en kritisch noemen. Onze regering denkt daar anders over. Liberaal en commercieel is er uitverkoop gehouden. De netwerkbedrijven nemen aan dat ze voor top salarissen niet bij de overheid horen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
