Malware saboteert computers bij Oekraïense energiebedrijven
Oekraïense energie- en mediabedrijven zijn het doelwit van malware geworden die computers saboteert door documenten en bestanden te overschrijven, zodat systemen niet meer opstarten. Dat meldt het Slowaakse anti-virusbedrijf ESET. Het gaat om de BlackEnergy-malware, die al sinds 2007 bestaat.
De aanval begint met een Lite-versie van BlackEnergy, waarmee de aanvallers kunnen controleren of de besmette computer ook van het bedoelde doelwit is. Als dit het geval is, wordt de volledige versie van BlackEnergy gedownload. De versies van de malware die vorig jaar werden ontdekt blijken over een 'KillDisk' onderdeel te beschikken dat als doel heeft om documenten en bestanden te overschrijven, zodat de computer niet meer opstart.
Voor mediabedrijven gebruikten de aanvallers een andere KillDisk-versie, die vooral gericht was op het vernietigen van bestanden en documenten. Bij de energiebedrijven werden juist Windows Event Logs verwijderd, kon er een moment voor het overschrijven worden ingesteld en was er minder nadruk op het vernietigen van documenten. Waar de versie van mediabedrijven meer dan 4.000 bestandsextensies overschreef, richtte de versie voor energiebedrijven zich op slechts 35 extensies.
Update
ESET meldt dat verschillende energiebedrijven in de Oekraïne het doelwit van de aanvallers waren en er bij sommige het KillDisk-onderdeel is gebruikt. Om de malware te verspreiden gebruiken de aanvallers Office-documenten met kwaadaardige macro's. De documenten zijn zogenaamd van de overheid afkomstig en bevatten tekst waarin de ontvanger wordt opgeroepen om de macro's uit te voeren. Macro's staan standaard in Office uitgeschakeld, maar als de gebruiker die inschakelt wordt de Lite-versie van BlackEnergy gedownload.
Dit staat beschreven in een volgende blog: http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-power-industry/
Het lijkt mij meer een signaal van diezelfde afzender: "Bezint voor u zich aan het westen verbindt". Die rekeningen waren dacht ik al met bemiddeling van de EU betaald.
Maar ik weet wel dat ze slechte ogen hebben. Ze schieten een Maleisisch vliegtuig uit de lucht terwijl ze denken dat het een Oekraïns vliegtuig is.
En waarom hangen de computers die kritisch dan zo open aan internet. Als de secretaresse even niet kan werken, wat maakt dat dan uit?
En waarom hangen de computers die kritisch dan zo open aan internet. Als de secretaresse even niet kan werken, wat maakt dat dan uit?
Nutsbedrijven worden beschouwd als zijnde "van strategisch belang" (vandaar de term "nut"sbedrijf), dus ook spionage bij een dergelijke (staats?)onderneming is een dreiging voor een overheid.
Geopolitieke belangen.
Jammer dat het niet gewoon in de titel staat: "Malware saboteert WINDOWS computers bij Oekraïense energiebedrijven."
Mensen denken hierdoor dat malware een algemeen computerprobleem is en niet specifiek een windows probleem
Het schijnt alom gebruikelijk te zijn bij artikelen over malware alleen het OS te vermelden als het geen windows is.
Nutsbedrijven worden beschouwd als zijnde "van strategisch belang" (vandaar de term "nut"sbedrijf), dus ook spionage bij een dergelijke (staats?)onderneming is een dreiging voor een overheid.
Geopolitieke belangen.
Dank je je hebt het punt. In de titel van het artikel staat energiebedrijven. Nergens staat er om welk onderdeel getroffen is. Het meest waarschijnlijke is de administratie en klantcontact. Dat is wat in nl de energie vrije markt is. De energie opwekking en distributie is een ander verhaal. Dat is meer nuts en vergeven van computers op een ander manier plc en meer van dat soort met alle monitoring. Dat is het echt kritische deel. Unix/linux en vaak lek.
We kunnen het nuts en kritisch noemen. Onze regering denkt daar anders over. Liberaal en commercieel is er uitverkoop gehouden. De netwerkbedrijven nemen aan dat ze voor top salarissen niet bij de overheid horen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
