Oekraïense energie- en mediabedrijven zijn het doelwit van malware geworden die computers saboteert door documenten en bestanden te overschrijven, zodat systemen niet meer opstarten. Dat meldt het Slowaakse anti-virusbedrijf ESET. Het gaat om de BlackEnergy-malware, die al sinds 2007 bestaat.
De aanval begint met een Lite-versie van BlackEnergy, waarmee de aanvallers kunnen controleren of de besmette computer ook van het bedoelde doelwit is. Als dit het geval is, wordt de volledige versie van BlackEnergy gedownload. De versies van de malware die vorig jaar werden ontdekt blijken over een 'KillDisk' onderdeel te beschikken dat als doel heeft om documenten en bestanden te overschrijven, zodat de computer niet meer opstart.
Voor mediabedrijven gebruikten de aanvallers een andere KillDisk-versie, die vooral gericht was op het vernietigen van bestanden en documenten. Bij de energiebedrijven werden juist Windows Event Logs verwijderd, kon er een moment voor het overschrijven worden ingesteld en was er minder nadruk op het vernietigen van documenten. Waar de versie van mediabedrijven meer dan 4.000 bestandsextensies overschreef, richtte de versie voor energiebedrijven zich op slechts 35 extensies.
ESET meldt dat verschillende energiebedrijven in de Oekraïne het doelwit van de aanvallers waren en er bij sommige het KillDisk-onderdeel is gebruikt. Om de malware te verspreiden gebruiken de aanvallers Office-documenten met kwaadaardige macro's. De documenten zijn zogenaamd van de overheid afkomstig en bevatten tekst waarin de ontvanger wordt opgeroepen om de macro's uit te voeren. Macro's staan standaard in Office uitgeschakeld, maar als de gebruiker die inschakelt wordt de Lite-versie van BlackEnergy gedownload.
Deze posting is gelocked. Reageren is niet meer mogelijk.